THE HEDGEHOG 08-02-2016 12:50
quote:
Изначально написано ELForcer:
[b]THE HEDGEHOG , как я понял у автора вопрос был: появляются ли права Админа у Обычного пользователя, если запустить программу с правами администратора с отключенным UAC?[/B]
Если вопрос поставлен некорректно,то и найти на него правильный ответ не всегда удается. По этому лучше узнать поставленную задачу, а потом уже от нее и искать пути решения.
Если отбросить нюансы и взять топор, то да права админа у юзверя появляются, но только в текущем процессе и его подпроцессах.
Но какие вот именно права появляются это тот еще вопрос. Для банального сравнения права учетки локального админа и учетки доменного админа с первого взгляда одни и те-же, а если приглядеться то разница есть и причем довольно значительная.
ELForcer 08-02-2016 12:59
Из своего опыта скажу что права не появляются. Если запустить с правами администратора из под Пользовательской учетки, то программа будет думать что запущена с правами администратора, но если выполнить действие, где эти права реально требуются, то выйдет ошибка доступа.
Я сталкивался с этим делом, когда писал прожку на C# и проверку на запуск с правами администратора.
THE HEDGEHOG 08-02-2016 13:14
Суть UAC состоит в том, что даже если юзверь администратор, то он все равно работает с правами юзверя и админские права для нового процесса даются ему только по запросу к пользователю.
Если же UAC отключен то права процессу запущенному от админской учетки будут по дефолту уже админскими. И еще раз повторю админ админу рознь.
Wolf666 08-02-2016 14:46
quote:
Изначально написано THE HEDGEHOG:
По этому лучше узнать поставленную задачу, а потом уже от нее и искать пути решения.
Миль пардон за неточное изложение задачи. Короче, задачи две. 1) Настроить безантивирусную систему для себя, в которой по умолчанию грузится учётка пользователя и из-под неё сидится и работается, а в случае необходимости можно было бы запустить необходимую софтину от имени пользователя из группы Администраторы с вводом пароля. Выставить при этом ограничение на запуск программ в локальных политиках безопасности, чтоб ни одна исполняемая зараза не могла запуститься без моего ведома, даже если в её коде присутствует runas. Пример: из-под юзера выставляется запрет на запуск gpedit.msc, создаётся её ярлык с runas, далее из-под юзера щёлкается этот ярлык, вводится пароль - и вот мы рулим групповую политику с правами админа.
2) То же самое, но для другого пользователя. Чтоб он сидел из-под своей учётки и при всём желании не мог получить админских прав. А когда они нужны - прихожу я, запускаю из-под той же учётки прогу с runas и далее по сценарию)
ELForcer 08-02-2016 14:59
quote:
Изначально написано Wolf666:
1) Настроить безантивирусную систему для себя, в которой по умолчанию грузится учётка пользователя и из-под неё сидится и работается, а в случае необходимости можно было бы запустить необходимую софтину от имени пользователя из группы Администраторы с вводом пароля.
Включи UAC. Иначе запроса пароля не будет и из под Юзера всё равно будет с правами Юзера, даже если запускать с правами администратора. (Для админа все приложения сразу с правами админа запускаются). Для удобства поставь без отображать UAC без затемнения.
В противном случае нужно заходить непосредственно в учетку с правами администратора и оттуда запускать программу.
THE HEDGEHOG 08-02-2016 15:20
А в сторону "Политики ограниченного использования программ" смотрели ?
Wolf666 08-02-2016 15:44
quote:
Изначально написано ELForcer:Включи UAC. Иначе запроса пароля не будет и из под Юзера всё равно будет с правами Юзера, даже если запускать с правами администратора. (Для админа все приложения сразу с правами админа запускаются). Для удобства поставь без отображать UAC без затемнения.
Ога, уже убедился) Из-под юзера запустил эксплорер с правами админа - хренушки, в програмфайлс писать не даёт. Хотя запрос пароля был.
quote:
Изначально написано THE HEDGEHOG:
в сторону "Политики ограниченного использования программ" смотрели ?
Сопсснна, с её помощью и собираюсь ограничить запуск экзешников и иже с ними.
Просто для работы без антивируса проще применить unix-way: откуда можно запускать, туда нельзя записывать. Куда можно писать, оттуда нельзя запускать. Ограничение запуска - вышеуказанной политикой, ограничение записи - правами ntfs. В теории всё идеально))
RuiL 08-02-2016 16:44
quote:
Изначально написано Wolf666:
Ограничение запуска - вышеуказанной политикой, ограничение записи - правами ntfs. В теории всё идеально))
Да, работает у меня в нескольких местах. В целом всё нормально, но некоторые подводные камни есть.
Wolf666 08-02-2016 17:35
quote:
Изначально написано RuiL:
некоторые подводные камни есть.
Ну да, есть такое. Напримэр, дикий софт, которому ни жить ни быть надо писать в свою папку в program files. Тут уже точечная настройка нужна.
RuiL 08-02-2016 18:51
quote:
Originally posted by Wolf666:
дикий софт
Ага, он самый
Wolf666 01-03-2016 22:46
Подниму темку. В общем, решил я сделать два ярлыка запуска одной и той же проги. (Total Commander, если кому интересно). один ярлык запускает её от обычного пользователя, другой - от админа. В свойствах админского ярлыка в совместимости ставлю галку "запускать от имени администратора" и БАЦ! - та же галка ставится и в самом экзешнике, и во втором его ярлыке. В чём причина и лечится ли это?
THE HEDGEHOG 02-03-2016 07:50
quote:
Изначально написано Wolf666:
Подниму темку. В общем, решил я сделать два ярлыка запуска одной и той же проги. (Total Commander, если кому интересно). один ярлык запускает её от обычного пользователя, другой - от админа. В свойствах админского ярлыка в совместимости ставлю галку "запускать от имени администратора" и БАЦ! - та же галка ставится и в самом экзешнике, и во втором его ярлыке. В чём причина и лечится ли это?
Странно, все это. Мб что-то напутали ?
Попробуйте два разных ярлыка с runass /sevecred
Froz 02-03-2016 09:54
У фара удобно сделано - ползаешь юзером, а когда нужно повышение прав вылазит окошко где ставишь галку "ввести админский пасс и больше не спрашивать в этой сессии". И фар становится админским (с красной буквой А в углу). И не нужно возиться с ярлыками.
ELForcer 02-03-2016 10:01
@Wolf666 можно еще сделать батник, который можно запускать с правами админа, который будет запускать программу (естественно тоже с правами админа).
Wolf666 02-03-2016 11:35
quote:
Originally posted by THE HEDGEHOG:
Мб что-то напутали ?
Да, действительно) Не там галку ставил:
(пилять, опять чото намудили с редактироанием сообщений. Как нынче картинки вставлять, подскажите люди добрые!)
...короче, в свойства ярлыка - совместимость - запускать с правами администратора. А не так как у вас показано.
Wolf666 02-03-2016 11:43
quote:
Originally posted by ELForcer:
@Wolf666 можно еще сделать батник, который можно запускать с правами админа, который будет запускать программу (естественно тоже с правами админа).
Тут у меня тоже загвоздка возникла. Так как винда русская, пользователь называется по-русски Администратор. И когда запускаешь батник, где указано runas /user:Администратор то в командной строке вместо русских букв - крякозяблы. Есснна, такого пользователя нет, и запуск не происходит. Редактировалось в Блокноте. Вопрос: как сие решить? Смены кодовых страниц в блокноте нет.
CheBurashka 02-03-2016 13:34
Использовать например notepad++, либо менять кодировку в консоли
Froz 02-03-2016 14:32
батник должен иметь codepage 866
Tips 02-03-2016 16:31
или банально прямо из cmd в батник записать те самые крякозябры которые являются Администратором через >C:\1.txt
например набрав ping Администратор>C:\1.txt
и найдя админа сравнив текст в консоли и в файле
Wolf666 02-03-2016 21:39
Спасибо! Бум пробовать.
Wolf666 07-03-2016 17:26
Дабы опять новую тему не создавать...
Можно ли как-то создать ярлык на конкретную ветку gpedit.msc? Скажем, чтоб по клику на оный сразу открывалась ветка "политики ограниченного использования программ" допустим.
И ещё: как настроить, чтоб размеры окна и последний путь gpedit сохранялись?
Tips 07-03-2016 19:47
ммм а зачем в него так часто ползать?
Wolf666 08-03-2016 18:34
quote:
Изначально написано Tips:
ммм а зачем в него так часто ползать?
Надо установить новую прогу, а политика закручена для всех экзешников окромя дозволенных.
Открутил политику - установил прогу - закрутил политику. А при настройке свежей системы сия итерация повторяется over100500 раз.
THE HEDGEHOG 08-03-2016 20:21
quote:
Изначально написано Wolf666:
Надо установить новую прогу, а политика закручена для всех экзешников окромя дозволенных.
Открутил политику - установил прогу - закрутил политику. А при настройке свежей системы сия итерация повторяется over100500 раз.
А сначала все поставить, а потом в домен включить ?
Tips 08-03-2016 20:31
quote:
А при настройке свежей системы сия итерация повторяется over100500 раз.
с чего бы, в самом начале
quote:
Открутил политику
все поставил
quote:
закрутил политику.
но еще проще сделать политику вседозволенной директории, и сам доступ в таковую без прав отрубить (обычно таковой является сетевая шара, так что там и так без ху из ху не влезть). Или вообще через wsus втыкать
RuiL 08-03-2016 22:06
quote:
Изначально написано Wolf666:
Надо установить новую прогу, а политика закручена для всех экзешников окромя дозволенных.
Сделайте ещё одну политику, действующую на группу администраторов, которым разрешён запуск любого приложения. Ну и устанавливайте приложения от имени пользователя, входящего в эту группу.
Wolf666 09-03-2016 13:44
quote:
Изначально написано THE HEDGEHOG:
в домен включить
Профессор, мы ещё это не проходили. Виноват, исправлюсь, уже иду в библиотеку.
quote:
Изначально написано Tips:
все поставил
Да я тут