izhevsk.ru Главная /  Windows /  Права администратора
тема закрыта

Имя:
Пароль:
 зарегистрироваться | Войти через
напоминатель пароля
Права администратора
НОВАЯ ТЕМА правила | поиск | картинки | | | о форуме |
  Новости | Авто | Недвижимость | Работа | Бизнес | Стройка | Объявления | Совместная покупка | | |
  следующая тема | предыдущая тема
Автор Тема:   Права администратора   версия для печати
Wolf666
Рейтинг: 49/-21
-- написано 7-2-2016 22:52 Wolf666
В опчем, малость не понял я одной вещи. А именно: как на win7 организована функция "запуск с правами администратора". Прочитал статейку, в ней говорится, что запуск с правами администратора - это повышение прав для возможности записи в некоторые системные папки. В связи с этим первый вопрос: в какие именно папки можно писать программе с повышением прав, и нельзя писать без оного, учитывая то, что изначально она запускается пользователем из группы Администраторы.
Далее. Поставил пароли на учётку Администратора и ещё одного пользователя из группы Администраторы. UAC отключен. Захожу под обычным пользователем, жмакаю пкм по экзешнику - запустить от имени администратора - запускает, пароль не спрашивает. В связи с этим ещё несколько вопросов.
1) это получается, что обычный юзверь спокойно может запускать экзешники от имени администратора даже если все админские учётки запаролены? Или же при описанных выше манипуляциях прога запускается без административных прав?
2) Как запретить юзверю запуск от имени администратора, не включая UAC? И не только убрав данный пункт из меню пкм, но и вообще лишив юзера такой возможности, ибо оную могут использовать зловреды-трояны.
3) Или же UAC в данном случае необходим, и без него любой пользователь с помощью правой кнопки может стать админом?
Показать текст сообщения полностью
NeiroNx
Рейтинг: 235/-79
-- написано 8-2-2016 00:23 NeiroNx
Что-то у вас не работает. У меня последний раз требовало пароль если на админской учетке пароль.
ELForcer
Рейтинг: 124/-54
-- написано 8-2-2016 00:40 ELForcer
1. Нет. Права с отключенным UAC не добавляются. По факту везде будет выходить ошибка доступа, хоть и программа будет думать что она запущена с правами админа.

2. см. Пункт 1.
3. см. Пункт 1.

UAC лучше не отключать. В 7ке более-менее удобно реализовано. Я без затемнения экрана использую его.

история редактирования

THE HEDGEHOG
Рейтинг: 613/-232
-- написано 8-2-2016 10:42 THE HEDGEHOG
Что-то непонятен смысл этих танцев.
Если я правильно понял, то надо запустить некую программу под профилем пользователя с максимальными правами, то тут на первый взгляд 2 варианта:
1. Дать юзверю на локальном ПК права локального админа;
2. Использовать runas с ключём /savercred и налепить нужные ярлыки на рабочий стол.
з.ы. Да и создать бы отдельную учетку с "урезанными админскими" правами под каждую из задач, что-бы реальную учетку не палить и что-бы путаницы не было.
з.ы. ну еще и MSA глянуть, может какая-нить дельная мысля придет. http://blog.simonw.se/using_st...cheduled_tasks/

история редактирования

Froz
Рейтинг: 56/-2
-- написано 8-2-2016 11:20 Froz
Софтина запущенная под юзерской учёткой на системном диске имеет только доступ на запись в папку профиля юзера и в %temp% (если конечно по глупости не меняли ручками дефолтные NTFS-ограничения на запись в системные папки). Ну и как правило на другие несистемные разделы.
UAC в win7 лучше не отключать, использовать без затемнения.
Если есть цель запускать некую софтину из-под юзера но с повышенными правами, то правильнее будет оформить её через шедулер. Читаем тут

история редактирования

ELForcer
Рейтинг: 124/-54
-- написано 8-2-2016 11:23 ELForcer
THE HEDGEHOG , как я понял у автора вопрос был: появляются ли права Админа у Обычного пользователя, если запустить программу с правами администратора с отключенным UAC?

история редактирования

THE HEDGEHOG
Рейтинг: 613/-232
-- написано 8-2-2016 12:50 THE HEDGEHOG
quote:
Изначально написано ELForcer:
[b]THE HEDGEHOG , как я понял у автора вопрос был: появляются ли права Админа у Обычного пользователя, если запустить программу с правами администратора с отключенным UAC?[/B]

Если вопрос поставлен некорректно,то и найти на него правильный ответ не всегда удается. По этому лучше узнать поставленную задачу, а потом уже от нее и искать пути решения.

Если отбросить нюансы и взять топор, то да права админа у юзверя появляются, но только в текущем процессе и его подпроцессах.
Но какие вот именно права появляются это тот еще вопрос. Для банального сравнения права учетки локального админа и учетки доменного админа с первого взгляда одни и те-же, а если приглядеться то разница есть и причем довольно значительная.


ELForcer
Рейтинг: 124/-54
-- написано 8-2-2016 12:59 ELForcer
Из своего опыта скажу что права не появляются. Если запустить с правами администратора из под Пользовательской учетки, то программа будет думать что запущена с правами администратора, но если выполнить действие, где эти права реально требуются, то выйдет ошибка доступа.

Я сталкивался с этим делом, когда писал прожку на C# и проверку на запуск с правами администратора.

THE HEDGEHOG
Рейтинг: 613/-232
-- написано 8-2-2016 13:14 THE HEDGEHOG
Суть UAC состоит в том, что даже если юзверь администратор, то он все равно работает с правами юзверя и админские права для нового процесса даются ему только по запросу к пользователю.
Если же UAC отключен то права процессу запущенному от админской учетки будут по дефолту уже админскими. И еще раз повторю админ админу рознь.
Wolf666
Рейтинг: 49/-21
-- написано 8-2-2016 14:46 Wolf666
quote:
Изначально написано THE HEDGEHOG:

По этому лучше узнать поставленную задачу, а потом уже от нее и искать пути решения.


Миль пардон за неточное изложение задачи. Короче, задачи две. 1) Настроить безантивирусную систему для себя, в которой по умолчанию грузится учётка пользователя и из-под неё сидится и работается, а в случае необходимости можно было бы запустить необходимую софтину от имени пользователя из группы Администраторы с вводом пароля. Выставить при этом ограничение на запуск программ в локальных политиках безопасности, чтоб ни одна исполняемая зараза не могла запуститься без моего ведома, даже если в её коде присутствует runas. Пример: из-под юзера выставляется запрет на запуск gpedit.msc, создаётся её ярлык с runas, далее из-под юзера щёлкается этот ярлык, вводится пароль - и вот мы рулим групповую политику с правами админа.
2) То же самое, но для другого пользователя. Чтоб он сидел из-под своей учётки и при всём желании не мог получить админских прав. А когда они нужны - прихожу я, запускаю из-под той же учётки прогу с runas и далее по сценарию)
ELForcer
Рейтинг: 124/-54
-- написано 8-2-2016 14:59 ELForcer
quote:
Изначально написано Wolf666:

1) Настроить безантивирусную систему для себя, в которой по умолчанию грузится учётка пользователя и из-под неё сидится и работается, а в случае необходимости можно было бы запустить необходимую софтину от имени пользователя из группы Администраторы с вводом пароля.


Включи UAC. Иначе запроса пароля не будет и из под Юзера всё равно будет с правами Юзера, даже если запускать с правами администратора. (Для админа все приложения сразу с правами админа запускаются). Для удобства поставь без отображать UAC без затемнения.

В противном случае нужно заходить непосредственно в учетку с правами администратора и оттуда запускать программу.

история редактирования

THE HEDGEHOG
Рейтинг: 613/-232
-- написано 8-2-2016 15:20 THE HEDGEHOG
А в сторону "Политики ограниченного использования программ" смотрели ?
Wolf666
Рейтинг: 49/-21
-- написано 8-2-2016 15:44 Wolf666
quote:
Изначально написано ELForcer:

Включи UAC. Иначе запроса пароля не будет и из под Юзера всё равно будет с правами Юзера, даже если запускать с правами администратора. (Для админа все приложения сразу с правами админа запускаются). Для удобства поставь без отображать UAC без затемнения.


Ога, уже убедился) Из-под юзера запустил эксплорер с правами админа - хренушки, в програмфайлс писать не даёт. Хотя запрос пароля был.
quote:
Изначально написано THE HEDGEHOG:

в сторону "Политики ограниченного использования программ" смотрели ?


Сопсснна, с её помощью и собираюсь ограничить запуск экзешников и иже с ними.
Просто для работы без антивируса проще применить unix-way: откуда можно запускать, туда нельзя записывать. Куда можно писать, оттуда нельзя запускать. Ограничение запуска - вышеуказанной политикой, ограничение записи - правами ntfs. В теории всё идеально))

история редактирования

RuiL
Рейтинг: 49/-3
-- написано 8-2-2016 16:44 RuiL
quote:
Изначально написано Wolf666:

Ограничение запуска - вышеуказанной политикой, ограничение записи - правами ntfs. В теории всё идеально))


Да, работает у меня в нескольких местах. В целом всё нормально, но некоторые подводные камни есть.
Wolf666
Рейтинг: 49/-21
-- написано 8-2-2016 17:35 Wolf666
quote:
Изначально написано RuiL:

некоторые подводные камни есть.


Ну да, есть такое. Напримэр, дикий софт, которому ни жить ни быть надо писать в свою папку в program files. Тут уже точечная настройка нужна.
RuiL
Рейтинг: 49/-3
-- написано 8-2-2016 18:51 RuiL
quote:
Originally posted by Wolf666:

дикий софт


Ага, он самый
Wolf666
Рейтинг: 49/-21
-- написано 1-3-2016 22:46 Wolf666
Подниму темку. В общем, решил я сделать два ярлыка запуска одной и той же проги. (Total Commander, если кому интересно). один ярлык запускает её от обычного пользователя, другой - от админа. В свойствах админского ярлыка в совместимости ставлю галку "запускать от имени администратора" и БАЦ! - та же галка ставится и в самом экзешнике, и во втором его ярлыке. В чём причина и лечится ли это?
THE HEDGEHOG
Рейтинг: 613/-232
-- написано 2-3-2016 07:50 THE HEDGEHOG
quote:
Изначально написано Wolf666:
Подниму темку. В общем, решил я сделать два ярлыка запуска одной и той же проги. (Total Commander, если кому интересно). один ярлык запускает её от обычного пользователя, другой - от админа. В свойствах админского ярлыка в совместимости ставлю галку "запускать от имени администратора" и БАЦ! - та же галка ставится и в самом экзешнике, и во втором его ярлыке. В чём причина и лечится ли это?

Странно, все это. Мб что-то напутали ?

Попробуйте два разных ярлыка с runass /sevecred

история редактирования

Froz
Рейтинг: 56/-2
-- написано 2-3-2016 09:54 Froz
У фара удобно сделано - ползаешь юзером, а когда нужно повышение прав вылазит окошко где ставишь галку "ввести админский пасс и больше не спрашивать в этой сессии". И фар становится админским (с красной буквой А в углу). И не нужно возиться с ярлыками.
ELForcer
Рейтинг: 124/-54
-- написано 2-3-2016 10:01 ELForcer
@Wolf666 можно еще сделать батник, который можно запускать с правами админа, который будет запускать программу (естественно тоже с правами админа).

история редактирования

Wolf666
Рейтинг: 49/-21
-- написано 2-3-2016 11:35 Wolf666
quote:
Originally posted by THE HEDGEHOG:

Мб что-то напутали ?


Да, действительно) Не там галку ставил:
(пилять, опять чото намудили с редактироанием сообщений. Как нынче картинки вставлять, подскажите люди добрые!)
...короче, в свойства ярлыка - совместимость - запускать с правами администратора. А не так как у вас показано.

история редактирования

Wolf666
Рейтинг: 49/-21
-- написано 2-3-2016 11:43 Wolf666
quote:
Originally posted by ELForcer:

@Wolf666 можно еще сделать батник, который можно запускать с правами админа, который будет запускать программу (естественно тоже с правами админа).


Тут у меня тоже загвоздка возникла. Так как винда русская, пользователь называется по-русски Администратор. И когда запускаешь батник, где указано runas /user:Администратор то в командной строке вместо русских букв - крякозяблы. Есснна, такого пользователя нет, и запуск не происходит. Редактировалось в Блокноте. Вопрос: как сие решить? Смены кодовых страниц в блокноте нет.
CheBurashka
Рейтинг: 35/-6
-- написано 2-3-2016 13:34 CheBurashka
Использовать например notepad++, либо менять кодировку в консоли
Froz
Рейтинг: 56/-2
-- написано 2-3-2016 14:32 Froz
батник должен иметь codepage 866
Tips
Рейтинг: 248/-61
-- написано 2-3-2016 16:31 Tips
или банально прямо из cmd в батник записать те самые крякозябры которые являются Администратором через >C:\1.txt
например набрав ping Администратор>C:\1.txt
и найдя админа сравнив текст в консоли и в файле
Wolf666
Рейтинг: 49/-21
-- написано 2-3-2016 21:39 Wolf666
Спасибо! Бум пробовать.
Wolf666
Рейтинг: 49/-21
-- написано 7-3-2016 17:26 Wolf666
Дабы опять новую тему не создавать...
Можно ли как-то создать ярлык на конкретную ветку gpedit.msc? Скажем, чтоб по клику на оный сразу открывалась ветка "политики ограниченного использования программ" допустим.
И ещё: как настроить, чтоб размеры окна и последний путь gpedit сохранялись?
Tips
Рейтинг: 248/-61
-- написано 7-3-2016 19:47 Tips
ммм а зачем в него так часто ползать?
Wolf666
Рейтинг: 49/-21
-- написано 8-3-2016 18:34 Wolf666
quote:
Изначально написано Tips:

ммм а зачем в него так часто ползать?


Надо установить новую прогу, а политика закручена для всех экзешников окромя дозволенных.
Открутил политику - установил прогу - закрутил политику. А при настройке свежей системы сия итерация повторяется over100500 раз.
THE HEDGEHOG
Рейтинг: 613/-232
-- написано 8-3-2016 20:21 THE HEDGEHOG
quote:
Изначально написано Wolf666:

Надо установить новую прогу, а политика закручена для всех экзешников окромя дозволенных.
Открутил политику - установил прогу - закрутил политику. А при настройке свежей системы сия итерация повторяется over100500 раз.

А сначала все поставить, а потом в домен включить ?

Tips
Рейтинг: 248/-61
-- написано 8-3-2016 20:31 Tips
quote:
А при настройке свежей системы сия итерация повторяется over100500 раз.

с чего бы, в самом начале
quote:
Открутил политику

все поставил
quote:
закрутил политику.

но еще проще сделать политику вседозволенной директории, и сам доступ в таковую без прав отрубить (обычно таковой является сетевая шара, так что там и так без ху из ху не влезть). Или вообще через wsus втыкать

RuiL
Рейтинг: 49/-3
-- написано 8-3-2016 22:06 RuiL
quote:
Изначально написано Wolf666:

Надо установить новую прогу, а политика закручена для всех экзешников окромя дозволенных.


Сделайте ещё одну политику, действующую на группу администраторов, которым разрешён запуск любого приложения. Ну и устанавливайте приложения от имени пользователя, входящего в эту группу.
Wolf666
Рейтинг: 49/-21
-- написано 9-3-2016 13:44 Wolf666
quote:
Изначально написано THE HEDGEHOG:

в домен включить


Профессор, мы ещё это не проходили. Виноват, исправлюсь, уже иду в библиотеку.
quote:
Изначально написано Tips:

все поставил


Да я тут экскреме экспериментами занимаюсь вечно. Чё-то ставлю, пробую, удаляю...

200x150 320x240 400x300 800x600    без переносов   
быстрый ответ   

подпись
следующая тема | предыдущая тема

Главная /  Windows /  Права администратора форумы izhevsk.ru

 
 
 
 
 
© ООО "Марк" 2020
 
Интернет-провайдер КК МАРК-ИТТ