Назад | Перейти на главную страницу

Проводник Windows Vista через Runas… или лучший способ для администратора домена работать с ограниченной учетной записью

Одна вещь, которая очень раздражала меня в администрировании домена Windows, - это попытка работать в основном с ограниченной учетной записью. Многое из того, что я делаю на своей рабочей станции изо дня в день, не требует прав администратора, поэтому я предпочитаю работать как ограниченный пользователь по соображениям безопасности. Проблема, конечно же, в тех случаях, когда мне как администратору домена приходится что-то делать.

В Windows Vista «быстрое переключение пользователей» наконец-то сработало для машин в домене, но у меня есть несколько проблем с этим: 1) переключение происходит медленно, 2) примерно в одном случае из пяти смена учетных записей пользователей заставит Vista забыть мой дисплей настройки до такой степени, что их нельзя будет восстановить без перезапуска. Веселая штука.

Часто мне нужен только файловый браузер для запуска с повышенными привилегиями, и кажется, что нет возможности запустить экземпляр Explorer таким образом (через Runas). Также похоже, что просмотр файлов через IE теперь просто запускает процесс Explorer и, таким образом, ограничен таким же образом.

Для этой цели я запускал FreeCommander через Sysinternals ShellRunas, и он работает. Это просто не лучший опыт.

Я бы убил за что-нибудь ближе к sudo. Я полностью упускаю что-то очевидное?

Я постоянно сталкиваюсь с этим.

Если вы хотите быстро / просто изменить разрешения или скопировать / переименовать / удалить, просто выполните запуск в блокноте или mmc и используйте диалоговое окно открытия файла, чтобы внести изменения.

_{(источник: microsoft.com)}

Вы можете перейти к любой папке, которую хотите, щелкнуть правой кнопкой мыши, чтобы открыть свойства / разрешения, скопировать и вставить. Следует отметить, что вид не обновляется сразу, нажмите F5 после переименования / перемещения файла и т. Д.

Вы можете запустить Explorer в контексте другого пользователя, но для этого вам нужно сначала убить существующий Explorer, и это действительно довольно некрасиво. Если вы действительно хотите попробовать, откройте командную строку с «RunAs» и учетной записью администратора домена. В этой командной строке используйте «Диспетчер задач», чтобы убить существующий «Explorer.exe», а затем запустить новый. Вы получите "Explorer.exe" с повышенными привилегиями, работающий от имени администратора домена.

Однако это действительно уродливый хакер, поэтому я бы не стал делать это на практике.

Вы поступаете правильно, работая как ограниченный аккаунт.

Я решаю эту проблему, выполняя rdesktop в другой системе (обычно на сервере) и входя в систему как администратор домена.

Быстрое переключение пользователей - хороший метод, но если это вызывает у вас головную боль, тогда ....

У меня есть сценарий, который запускает runas, а затем что-то еще (например, MMC) с повышенными правами.

Set objShell = CreateObject("Shell.Application")
app = wscript.arguments(0)
args = ""
for i = 1 to (WScript.Arguments.length - 1)
   args = args + wscript.arguments(i)
next
objShell.ShellExecute app, args, "", "runas"

Если вы ненавидите постоянный запрос кредитов, возможно, используя что-то, что может принимать кредиты вместо рун ... но затем сохранение кредитов в раскрытии сценария плюс, возможно, подрывает преимущество работы с более низкой учетной записью.

Раньше я делал эти руны и Internet Explorer в Windows XP. Затем вы можете просматривать файлы в окне IE. Однако у меня не было необходимости пробовать это в Windows Vista.

если удаленный рабочий стол включен, вы можете использовать RDP для подключения к локальному хосту с альтернативными кредитами. проблема в том, что при этом загружается вся пользовательская сессия и много ненужного только для одной программы.

РЕДАКТИРОВАТЬ: я не пробовал это с перспективой (или xp). Я использую сервер 2008 в качестве рабочей станции, и он отлично работает под ним.

Сделайте свои пробежки по этому поводу:

explorer.exe / отдельный

Отдельный - это недокументированный флаг, но он запускает его в отдельном окне процесса (он же не проверяет существующую оболочку проводника перед запуском)