Для настройки некоторых системных параметров Windows требуются права администратора. Однако учетная запись «администратор» еще не означает «администратор компьютера».
В Windows 10, например, можно присвоить права администратора любому пользователю, однако при этом постоянно появляются предупреждающие сообщения и требования ввода пароля администратора. Причина: существует встроенная учетная запись администратора, обладающая большими правами, чем у пользователя, самостоятельно назначившего себя администратором. При включении встроенной учетной записи администратора для внесения изменений в систему подобные предупреждения и указания не будут появляться.
Суперадминистратор в Windows 7
В этой версии учетная запись администратора по умолчанию отключена. Для ее включения откройте меню «Пуск» и щелкните пункт «Все программы». Затем прокрутите список до пункта «Стандартные» и откройте его.
Щелкнув правой кнопкой мыши на пункте «Командная строка», выберите команду «Запуск от имени администратора» и щелкните «Да» в появившемся окне «Контроль учетных записей пользователей».
В окне «Администратор: командная строка» введите команду «net user Администратор / active:yes» без кавычек (для русскоязычной версии).
Из соображений безопасности учетная запись администратора не должна быть включена дольше, чем необходимо. Для ее отключения необходимо ввести команду «net user Администратор /active:no».
Суперадминистратор в Windows 10
Для пользователей этой ОС необходимо ввести в окне поиска «Командная строка», щелкнуть правой кнопкой мыши на соответствующей записи в перечне результатов и выбрать команду контекстного меню «Запуск от имени администратора». В окне «Контроль учетных записей пользователей» щелкните «Да».
Если вы хотите использовать встроенную учетную запись администратора без указания пароля, введите команду «net user Администратор /active:yes» (для русскоязычной версии).
Если вы установили пароль, команда должна выглядеть так:
«net user Администратор ваш_пароль /active: yes» (для русскоязычной версии). Вместо фрагмента «ваш_пароль» необходимо ввести ваш настоящий пароль.
Учетная запись администратора отключается командой «net user Администратор /active: no» (для русскоязычной версии).
Читайте также:
- Настройка энергопотребления Windows 10 в зависимости от режима работы
- Изменяем настройка прокси-сервера в Windows 7
- Windows 10 шпионит за вами: пошаговое руководство, как это отключить
Фото: компании-производители
Запросите разрешение от Администраторы на изменение этой папки или файла — решение
При удалении, перемещении или переименовании папки или файла в Windows 11, 10 или предыдущих версий пользователи могут получить сообщение об отсутствии доступа «Вам необходимо разрешение на выполнение этой операции. Запросите разрешение от Администраторы на изменение этой папки (или файла)». При этом пользователь обычно является администратором в системе.
В этой инструкции подробно о том, как решить проблему и удалить, либо другим способом изменить нужную папку или файл.
Предоставление прав для группы «Пользователи»
Прежде чем приступить, отмечу, что уведомление «Запросите разрешение от Администраторы» может быть признаком того, что папка важна для работы какой-то программы или системы, а потому её удаление или изменение вручную в проводнике или другом файловом менеджере потенциально способно привести к нежелательным результатам.
Выполняйте всё описанное только если уверены, что это действительно требуется сделать и под свою ответственность. Учитывайте, что для описываемых действий требуется, чтобы у вас были права администратора на компьютере.
Даже если ваша учётная запись имеет права администратора в Windows 11/10, при отсутствии необходимых разрешений для группы «Пользователи» у соответствующего элемента, вы можете получить рассматриваемое сообщение об ошибке. Чтобы решить проблему, достаточно предоставить этой группе соответствующие разрешения:
- Нажмите правой кнопкой мыши по папке или файлу, о котором идёт речь, выберите пункт «Свойства», перейдите на вкладку «Безопасность» и нажмите кнопку «Дополнительно».
- Если на следующем экране вы увидите кнопку «Продолжить», нажмите её, иначе перейдите к 3-му шагу.
- Вы увидите список, где в столбце «Субъект» будет находиться один, несколько или ни одного элемента с именем «Пользователи»:
- Здесь возможны несколько вариантов действий. Если такой пункт единственный, выберите его, нажмите кнопку «Изменить» внизу (предварительно может потребоваться нажать «Изменить разрешения»), убедиться, что тип доступа установлен в «Разрешить», установите отметку «Полный доступ», в случае папок установите «Для этой папки и ее подпапок» в поле «Применяется к», нажмите «Ок» и перейдите к последнему шагу.
- Если одинаковых субъектов с именем «Пользователи» и разными разрешениями несколько, вы можете удалить все те, для которых в поле «Тип» установлено «Запретить», оставить лишь элемент, где «Тип» — «Разрешить» (в случае, если таких несколько, оставьте тот, который имеет унаследованные права) и если в столбце «Доступ» установлен не «Полный доступ», изменить его как на 4-м шаге. В случае если присутствуют только элементы с типом «Запретить», вы также можете оставить лишь один из них, после чего использовать кнопку «Изменить», поменять тип на «Разрешить» и включить «Полный доступ».
- Если элементы «Пользователи» отсутствуют, нажмите «Добавить» внизу списка (предварительно может потребоваться нажать «Изменить разрешения»), нажмите по ссылке «Выберите субъект», введите Пользователи (по-русски в русскоязычной версии Windows, в изначально англоязычной — Users), нажмите «Ок», после чего включите «Полный доступ» в разделе «Общие разрешения», нажмите «Ок».
- В случае если речь идёт о папке (для файла не нужно), установите отметку «Заменить все записи разрешений дочернего объекта наследуемыми от этого объекта» и нажмите «Ок».
Готово, после этого все действия с папкой должны выполняться без каких-либо проблем.
Если выполнить описанные действия — сложная для вас задача, вы можете использовать специальные программы, которые позволяют автоматически изменить владельца и права на доступ к папкам и файлам.
Второй вариант действий
Если по какой-то причине первый способ не подошёл, и вы продолжаете искать способ запросить разрешение у администратора на удаление папки или файла, то прежде всего, запрашивать какое-либо разрешение, чтобы изменить или удалить папку нам не потребуется: вместо этого мы сделаем так, чтобы именно ваша учётная запись пользователя стала владельцем элемента файловой системы с полными правами доступа к нему.
Это можно выполнить в два шага (хотя, для случая «Запросите разрешение от Администраторы» первый обычно и не требуется) — первый: стать владельцем папки или файла и второй —предоставить себе необходимые права доступа (полные).
Изменение владельца
Кликните правой кнопкой мыши по проблемной папки или файлу, выберите пункт «Свойства», а затем перейдите на вкладку «Безопасность». В этой вкладке нажмите кнопку «Дополнительно».
Обратите внимание на пункт «Владелец» в дополнительных параметрах безопасности папки, там будет указано «Администраторы». Нажмите кнопку «Изменить».
В следующем окне (Выбор Пользователь или Группа) нажмите кнопку «Дополнительно».
После этого, в появившемся окне нажмите кнопку «Поиск», а затем найдите и выделите в результатах поиска своего пользователя и нажмите «Ок». В следующем окне также достаточно нажать «Ок».
Если вы изменяете владельца папки, а не отдельного файла, то логичным будет также отметить пункт «Заменить владельца подконтейнеров и объектов» (меняет владельца вложенных папок и файлов).
Нажмите «Ок».
Установка разрешений для пользователя
Итак, мы стали владельцем, но, вероятнее всего, удалить его пока так и нельзя: нам не хватает разрешений. Вновь зайдите в «Свойства» — «Безопасность» папки и нажмите кнопку «Дополнительно».
Обратите внимание, есть ли в списке «Элементы разрешений» ваш пользователь:
- Если нет — нажимаем кнопку «Добавить» ниже. В поле субъект нажимаем «Выберите субъект» и через «Дополнительно» — «Поиск» (как и когда меняли владельца) находим своего пользователя (ваше имя пользователя). Устанавливаем для него «Полный доступ». Также следует отметить пункт «Заменить все записи разрешений дочернего объекта» внизу окна «Дополнительные параметры безопасности». Применяем все сделанные настройки.
- Если есть — выбираем пользователя, нажимаем кнопку «Изменить» и устанавливаем полные права доступа. Отмечаем пункт «Заменить все записи разрешений дочернего объекта». Применяем настройки.
После этого при удалении папки сообщение о том, что отказано в доступе и требуется запросить разрешение от Администраторы появиться не должно, равно как и при других действиях с элементом.
Надеюсь, представленная информация помогла вам. Если же это не так, буду рад ответить на ваши вопросы.
Что нужно знать
- Для начала введите в поле поиска на панели задач «cmd» и выберите «Запуск от имени администратора».
- Включить учетную запись администратора: Введите в поле поиска на панели задач «cmd» > выберите «Запуск от имени администратора».
- Введите «net user administrator /active:yes» и нажмите Enter. Дождитесь подтверждения и перезагрузитесь.
- Чтобы отключить учетную запись администратора, откройте командную строку от имени администратора и введите «net user administrator /active:no».
В этой статье приведены инструкции по включению учетной записи администратора в Windows. Инструкции применимы к Windows 11 и 10.
Как включить учетную запись администратора через командную строку Windows
Хотя учетная запись администратора обычно скрыта в Windows 11 и 10, вы можете включить ее в любое время с помощью командной строки. После того, как вы ее включите, у вас появится возможность входить в систему под учетной записью администратора при каждом запуске Windows. Этот метод работает со всеми версиями Windows, включая Windows 11 и 10 Home.
1.Перейдите в поиск Windows и введите «cmd» в поле поиска.
2.В разделе «Командная строка» выберите «Запуск от имени администратора».
3.Введите «net user administrator /active:yes» и нажмите Enter.
4.Дождитесь подтверждения, затем перезагрузите компьютер, после чего у вас появится возможность войти в систему под учетной записью администратора.
Как отключить учетную запись администратора в Windows
Если вам больше не нужен легкий доступ к учетной записи администратора в Windows, вы можете скрыть ее так же просто, как и включить. Это можно сделать через командную строку в любой версии Windows, и если вы передумаете, вы всегда сможете включить ее снова в будущем.
1.Перейдите в поиск Windows и введите «cmd» в поле поиска.
2.В разделе «Командная строка» выберите «Запуск от имени администратора».
3.Введите «net user administrator /active:no» и нажмите Enter.
4.Дождитесь завершения процесса. Учетная запись администратора больше не будет появляться при запуске компьютера.
Внимание: в Windows Home единственным способом включить учетную запись администратора является использование командной строки, но некоторые версии Windows предоставляют несколько других вариантов. Эти варианты доступны в основном в версиях Windows, предназначенных для профессиональных и корпоративных сред, поэтому такие способы вряд ли пригодятся для персонального компьютера. Если вы все же воспользуетесь одним из этих методов, будьте очень осторожны. Если вы измените неправильный параметр, вы можете сделать вход в систему невозможным.
Как включить учетную запись администратора Windows с помощью Admin Tools:
1.Нажмите и удерживайте клавиши Windows + R, чтобы открыть диалоговое окно «Выполнить».
2.Введите «lusrmgr.msc» в диалоговое окно «Выполнить» и нажмите Enter.
3.Откройте раздел «Пользователи».
Примечание: если у вас Windows Home, вы не увидите эту опцию. Вместо этого используйте метод с использованием командной строки.
4.Выберите «Администратор».
5.Снимите флажок с пункта «Учетная запись отключена».
6.Перезагрузите компьютер, и у вас появится возможность войти в систему с учетной записью администратора.
Как включить учетную запись администратора Windows из реестра Windows:
1.Нажмите и удерживайте клавиши Windows + R, чтобы открыть диалоговое окно «Выполнить».
2.Введите «regedit» и нажмите Enter.
3.Перейдите к разделу HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows NT > CurrentVersion > Winlogon > SpecialAccounts > UserList.
Примечание: если у вас Windows Home, вы не сможете перейти к списку пользователей реестра Windows. Вместо этого используйте метод командной строки.
4.Щелкните правой кнопкой мыши «UserList».
5.Выберите «Новый» > «Значение DWORD».
6.Введите «Администратор» и нажмите Enter.
7.Закройте редактор реестра и перезагрузите компьютер, после чего у вас появится возможность войти в систему под учетной записью администратора.
FAQ
Как изменить имя администратора в Windows 10?
Чтобы изменить имя администратора, воспользуйтесь сочетанием клавиш Win+R, чтобы открыть диалоговое окно «Выполнить». Введите «secpol.msc» и нажмите «OK». Перейдите в раздел «Локальные политики» > «Параметры безопасности» > дважды щелкните «Учетные записи»: «Переименовать учетную запись администратора» > введите новое имя > «ОК».
Как сбросить пароль администратора в Windows 10?
Чтобы сбросить пароль, выберите «Забыли пароль» на экране входа в систему. Ответьте на вопросы или выполните другие необходимые для проверки шаги. Если у вас стандартная учетная запись, вам нужно попросить того, кто настраивал компьютер, предоставить вам права администратора.
Источник:
https://www.lifewire.com/enable-or-disable-administrator-account-in-windows-10-5095293
Права Администратора в Windows 10 нужны пользователю для выполнения определенных действий: изменения конфигураций стандартных и установленных программ, оптимизации работы системы, доступа ко всем файлам, хранящимся на компьютере.
Включить права с повышенными привилегиями в Windows 10 вы сможете несколькими способами.
Важно! Пользователи «домашних» версий не смогут использовать все нижеописанные доступные опции.
С помощью Командной строки
Этот способ универсальный для всех версий Windows и считается наиболее простым. Запустите Командную строку с повышенными привилегиями. В открывшемся окне введите: net user администратор /active:yes. При установленной англоязычной ОС команда прописывается следующим образом: net user administrator /active:yes.
Полезно! Для этой записи по умолчанию не установлен пароль, поэтому его стоит задать. Сделать это можно с помощью команды: net user Администратор * в Командной строке, дважды повторив ввод пароля.
Утилитой Локальная политика безопасности
В окне «Выполнить» введите команду secpol.msc.
Полезно! Альтернативный вариант запуска утилиты Локальная политика безопасности: Пуск –> Панель управления –> Администрирование.
После этого выполните следующие действия:
Откройте ветку «Локальные политики» –> Параметры безопасности –> выберите в правом окне «Учётные записи: Состояние “Администратор”»
Этот параметр по умолчанию отключен. Дважды кликните по нему и установите маркер в положение «включен».
Утилитой Локальные пользователи и группы
Запустите в окне «Выполнить» команду lusrmgr.msc. В открывшемся окне слева выберите раздел «Пользователи». В правой части откроется список всех пользователей компьютера. На записи Администратора, дважды кликнув по ней, снимите галочку с пункта «Отключить учетную запись». После этого сохраните сделанные изменения.
Утилитой Управление компьютером
Запустите в окне «Выполнить» команду compmgmt.msc. В открывшемся окне в древовидном списке перейдите по пути:
Управление компьютером –> Служебные программы –> Локальные пользователи –> Пользователи –> выберите строку Администратор и дважды кликните по ней
В открывшемся окне снимите галочку с меню «Отключить учётную запись».
Видео “права администратора Windows 10”
На видео подробно показано, как включить права суперюзера с Помощью командной строки и утилиты Локальные пользователи и группы.
Как удалить учетную запись администратора
Отключение выполняется в таком же порядке для каждого пункта, но вместо включения параметры деактивируются. В случае использования Командной строки пропишите: net user администратор /active:no (в английской версии – net user administrator /active:no).
Важно! Использовать учетную запись с повышенными привилегиями нужно в крайних случаях. Не рекомендуется постоянно из-под нее работать, или надолго оставлять включенной.
Вход в систему
Для входа в систему под учетной записью Администратора перезагрузите компьютер. Запись станет доступной на экране входа в Windows 10.
Вывод
Включить права Администратора можно несколькими способами. Универсальный вариант – использовать Командную строку. Но работа из-под этой учетной записи на постоянной основе нежелательна!
Некоторые программы при запуске могут требовать повышения прав до администратора (значок щита у иконки), однако на самом деле для их нормальной работы права администратора не требуется (например, вы можете вручную предоставить необходимые NTFS разрешения пользователям на каталог программы в Program Files и ее ветки реестра). Если на компьютере включен контроль учетных записей (User Account Control), то при запуске такой программы из-под непривилегированного пользователя появится запрос UAC и Windows потребует от пользователя ввести пароль администратора. Чтобы обойти этот механизм многие просто отключают UAC или предоставляют пользователю права администратора на компьютере, добавляя его в группу локальных администраторов. Оба эти способа не рекомендуется широкого использовать, т.к. вы снижаете безопасность и защиту Windows. В этой статье мы рассмотрим, как запустить программу, которая требует права администратора, от имени простого пользователя и подавить запрос повышения привилегий UAC.
Содержание:
- Предоставить пользователю права на запуск программы
- Запуск программы, требующей права администратора, от обычного пользователя
- Запуск программы в режиме RunAsInvoker из командной строки
- Включить режим RunAsInvoker в манифесте exe файла программы
- Запуск программы с сохраненным паролем администратора
Предоставить пользователю права на запуск программы
Программа может запрашивать права администратора при запуске, если:
- Программе нужно получить доступ на системный каталог или файл, на отсутствуют NTFS разрешения для непривилегированных пользователей;
- Если программа собрана со специальным флагом, которые требует повышения прав при запуске (requireAdministrator).
В первом случае для решения проблемы администратору достаточно предоставить RW или Full Control разрешения на каталог программы или необходимый системных каталог. Например, программа хранит свои файлы (логи, файлы конфигурации и т.д.) в собственной папке в C:\Program Files (x86)\SomeApp) или каком-то системном каталоге. Для корректной работы программы пользователю нужны права записи в эти файлы. По умолчанию у пользователей нет прав на редактирование данного каталога, соответственно, для нормальной работы такой программы нужны права администратора.
Чтобы разрешить запуск программы под непривилегированным пользователем администратора достаточно вручную предоставить пользователю (или встроенной группе Users) права на изменение/запись на файл/каталог на уровне файловой системы NTFS.
Чтобы найти список файлов, папок и ключей реестра, к которым обращается программа, воспользуйтесь утилитой Process Monitor (https://learn.microsoft.com/en-us/sysinternals/downloads/procmon). Включите фильтр по имени процесса программы и найдите все ресурсы, при доступе к которым появляется Access Denied. Предоставьте необходимые права на папки/файлы/ветки реестра.
Примечание. В рекомендациях Microsoft для разработчиков указано, что не рекомендуется хранить изменяющиеся данных приложения в каталоге C:\Program Files неверна. Правильнее хранить данные приложения в профиле пользователя. Но это уже вопрос о лени и некомпетентности разработчиков программ.
Запуск программы, требующей права администратора, от обычного пользователя
Ранее мы уже описывали, как можно с помощью параметра RunAsInvoker отключить запрос UAC для конкретной программы. Однако этот метод недостаточно гибкий.
Рассмотрим более простой способ принудительного запуска любой программы без прав администратора (и без ввода пароля админа) при включенном UAC (4,3 или 2 уровень ползунка UAC).
Для примера возьмем утилиту редактирования реестра — regedit.exe (она находится в каталоге C:\windows\). Обратите внимание на щит UAC у иконки. Данный значок означает, что для запуска этой программы будет запрошено повышение привилегий через UAC.
Если запустить
regedit.exe
, то перед вами появится окно User Account Contol с запросом пароля пользователя с правами администратора на этом компьютере (
Do you want to allow this app to make changes to your device?
). Если не указать пароль и не подтвердить повышение привилегии, приложение не запустится.
Попробуем обойти запрос UAC для этой программы. Создайте на рабочем столе файл run-as-non-admin.bat со следующим текстом:
cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && start "" %1"
Теперь для принудительного запуска приложения без прав администратора и подавлением запроса UAC, просто перетащите нужный exe файл на этот bat файл на рабочем столе.
Редактор реестра должен запуститься без появления запроса UAC и без ввода пароля администратора. Откройте диспетчер процессов, добавьте столбец Elevated и убедитесь, что в Windows запушен непривилегированный процесс regedit (запущен с правами пользователя).
Попробуйте отредактировать любой параметр в ветке HKEY_LOCAL_MACHINE. Как вы видите доступ на редактирование реестра в этой ветке запрещен (у данного пользователя нет прав на запись в системные ветки реестра). Но вы можете добавлять и редактировать ключи в собственной ветке реестра пользователя — HKEY_CURRENT_USER.
Аналогичным образом через bat файл можно запускать и конкретное приложение, достаточно указать путь к исполняемому файлу.
run-app-as-non-admin.bat
Set ApplicationPath="C:\Program Files\MyApp\testapp.exe"
cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && start "" %ApplicationPath%"
Также можно добавить контекстное меню, которое добавляет у всех приложений возможность запуска без повышения прав. Для этого создайте файл runasuser.reg файл, скопируйте в него следующий код, сохраните и импортируйте его в реестр двойным щелчком по reg файлу (понадобятся права администратора).
Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\*\shell\forcerunasinvoker] @="Run as user without UAC elevation" [HKEY_CLASSES_ROOT\*\shell\forcerunasinvoker\command] @="cmd /min /C \"set __COMPAT_LAYER=RUNASINVOKER && start \"\" \"%1\"\""
После этого для запуска любого приложения без прав админа достаточно выбрать пункт “Run as user without UAC elevation” в контекстном меню проводника Windows File Explorer.
Еще раз напомню, что использование программы в режиме RUNASINVOKER не запускает приложение с правами администратора. Параметр AsInvoker подавляет запрос UAC и указывает программе, что она должна запуститься с правами текущего пользователя и не запрашивать повышение привилегий. Если программе действительно нужны повышенные права для редактирования системных параметров или файлов, она не будет работать или повторно запросит права администратора.
Запуск программы в режиме RunAsInvoker из командной строки
Переменная окружения __COMPAT_LAYER позволяет устанавливать различные уровни совместимости для приложений (вкладка Совместимость в свойствах exe файла). С помощью этой переменной можно указать настройки совместимости, с которыми нужно запускать программу. Например, для запуска приложения в режиме совместимости с Windows 7 и разрешением 640×480, установите:
set __COMPAT_LAYER=Win7RTM 640x480
Из интересных нам опций переменной __COMPAT_LAYER можно выделить следующие параметры:
- RunAsInvoker — запуск приложения с привилегиями родительского процесса без запроса UAC;
- RunAsHighest — запуск приложения с максимальными правами, доступными пользователю (запрос UAC появляется, если у пользователя есть права администратора);
- RunAsAdmin — запустить приложение с правами администратора (запрос AUC появляется всегда).
Следующие команды включат режим RUNASINVOKER для текущего процесса и запускает указанную программу:
set __COMPAT_LAYER=RUNASINVOKER
start "" "C:\Program Files\MyApp\testapp.exe"
Включить режим RunAsInvoker в манифесте exe файла программы
Как мы уже говорили выше, Windows показывает значок щита UAC у программ, которые требуют повышенных привилегий для запуска. Это требование разработчики задают при разработке в специальной секции программы — манифесте.
Вы можете отредактировать манифест исполняемого exe файла программы и отключить требование запускать программу в привилегированном режиме.
Для редактирования манифеста программы можно использовать бесплатную утилиту Resource Hacker. Откройте исполняемый файл программы в Resource Hacker.
В дереве слева перейдите в раздел Manifest и откройте манифест программы. Обратите внимание на строки:
<requestedPrivileges> <requestedExecutionLevel level="requireAdministrator" uiAccess="false"/> </requestedPrivileges>
Именно благодаря опции requireAdministrator Windows всегда запускает эту программу с правами администратора.
Измените requireAdministrator на asInvoker и сохраните изменения в exe файле.
Обратите внимание, что теперь у иконки программы пропал щит UAC и вы можете запустить ее без запроса прав администратора с привилегиями текущего пользователя.
Если исполняемый файл программы подписан цифровой подпись (сертификатом Code Signing), то после модификации exe файла, он может перестать запускаться или выдавать предупреждение.
В этом случае можно заставить программу использовать внешний файл манифеста. Создайте в каталоге с ехе файлом текстовый файл
app.exe.manifest
(например Autologon.exe.manifest) и скопируйте в него код манифеста из Resource Hacker. Измените requireAdministrator на asInvoker. Сохраните файл.
Чтобы Windows при запуске приложений всегда пробовала использовать внешний файл манифеста, включите специальный параметр реестра:
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide" /v PreferExternalManifest /t REG_DWORD /d 1 /f
Перезагрузите Windows и убедитесь, что программа использует внешний файл манифеста, и запускается без прав администратора.
Запуск программы с сохраненным паролем администратора
Если способы запуска программы через режим RunAsInvoker не работают для вашего устаревшего приложения, можно попробовать запускать такие программы в сессии пользователя с помощью сохраненного пароля администратора. Этот способ мы целенаправленно оставили последним, т.к. это наименее безопасный способ запуска программ без предоставления прав локального администратора пользователю.
Создайте на рабочем столе новый ярлык для запуска программы. Укажите имя компьютера, имя локального администратора и полный путь к исполняемому файлу программы.
Например:
runas /user:wks-1122h2\root /savecred "C:\CorpApp\myapp.exe"
Запустите ярлык под пользователем. При первом запуске откроется командная строка, в которой нужно будет указать пароль администратора.
Утилита RunAs при запуске с параметром /SAVECRED сохраняет имя пользователя и пароль в диспетчере паролей Windows (Credentials Manager).
При следующем запуске ярлыка утилита runas автоматически получит сохраненный пароль из Credentials Manager и использует его для запуска программы от имени указанного локального администратора (пароль не запрашивается повторно при каждом запуске).
Вы можете вывести список пользователей с сохраненными паролями в Credential Manager с помощью команды:
RunDll32.exe keymgr.dll,KRShowKeyMgr
В Windows 11 при запуске такого ярлыка появляется ошибка:
RUNAS ERROR: Unable to run - C:\CorpApp\myapp.exe 740: The requested operation requires elevation.
Чтобы исправить ошибку, отредактируйте команду в свойствах ярлыка. Замените ее на:
C:\Windows\System32\runas /profile /user:WKS-1122H2\root /savecred "cmd.exe /C C:\CorpApp\myapp.exe"
Как мы указывали выше, использование параметра
/savecred
не безопасно, т.к. пользователь, в чьем профиле сохранен чужой пароль может использовать его для запуска любой программы или команды под данными привилегиями, или даже сменить пароль пользователя с правами администратора. Кроме того, сохраненные пароли из Credential Manager можно получить в открытом виде с помощью утилит типа Mimikatz, лучше <запретить использование сохраненных паролей.
В Windows можно заблокировать возможность сохранения паролей в Credential Manager с помощью параметра групповой политики Network access: Do not allow storage of passwords and credentials for network authentication (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options).
Преодолеть недостаток использования сохраненного пароля через runas позволяют несколько сторонних утилит. Например, AdmiLink, RunAsRob, RunAsSpc. Эти программы позволяют сохранить пароль администратора в зашифрованном виде и безопасно запустить программу с правами администратора. Эти утилиты проверяют при запуске путь и контрольную сумму исполняемого файла и не позволят запустить произвольную программу.