Назад | Перейти на главную страницу

Запуск программ с «предварительно разрешенными» правами администратора Windows

Я работаю в корпоративной среде с высоким уровнем безопасности на машине с Windows 8.

У меня нет прав администратора, но я разработчик.

Я не буду вдаваться в абсурдность этого. Вкратце: есть определенные программы, для которых мне нужны права администратора. Запуск XAMPP с Apache является одним из них, поскольку он открывает порты, требующие привилегий.

Есть ли в Windows 8 способы настроить такие программы, как XAMPP, для запуска с предварительно утвержденными правами администратора?

Есть два подхода.

  1. Отключите UAC. Подход грубой силы, который применяется ко всей системе в глобальном масштабе. Неоптимально с точки зрения общей безопасности.

  2. Запустите приложение с другим исполняемым файлом, который включает права администратора, отключенные по умолчанию. Вы можете создать свой собственный и использовать что-то вроде ProcessPrivileges для включения отключенных привилегий или использовать другой инструмент, например psexec SysInternals.

Стоит упомянуть, что запуск исполняемого файла как запланированной задачи и указание «Запускать с наивысшими привилегиями» выполняет то же самое, но вы, вероятно, не хотите ограничиваться запуском этого как запланированной задачи. Однако это было бы полезным подходом для системного администратора, чтобы предоставить это для каждого приложения и дать другому человеку разрешение на запуск запланированной задачи, чтобы им не потребовались чрезмерные привилегии.

Например.: 

psexec.exe -h yourprogram.exe

Или вы даже можете запустить процесс как локальную систему: 

psexec.exe -s yourprogram.exe

Или запустите процесс как локальную систему, которая может взаимодействовать с рабочим столом: 

psexec.exe -s -i yourprogram.exe

Больше информации:

PsExec v1.98 - Execute processes remotely
Copyright (C) 2001-2010 Mark Russinovich
Sysinternals - www.sysinternals.com

PsExec executes a program on a remote system, where remotely executed console
applications execute interactively.

Usage: psexec [\\computer[,computer2[,...] | @file]][-u user [-p psswd][-n s][-l][-s|-e][-x][-i [session]][-c [-f|-v]][-
w directory][-d][-<priority>][-a n,n,...] cmd [arguments]
     -a         Separate processors on which the application can run with
                commas where 1 is the lowest numbered CPU. For example,
                to run the application on CPU 2 and CPU 4, enter:
                "-a 2,4"
     -c         Copy the specified program to the remote system for
                execution. If you omit this option the application
                must be in the system path on the remote system.
     -d         Don't wait for process to terminate (non-interactive).
     -e         Does not load the specified account's profile.
     -f         Copy the specified program even if the file already
                exists on the remote system.
     -i         Run the program so that it interacts with the desktop of the
                specified session on the remote system. If no session is
                specified the process runs in the console session.
     -h         If the target system is Vista or higher, has the process
                run with the account's elevated token, if available.
     -l         Run process as limited user (strips the Administrators group
                and allows only privileges assigned to the Users group).
                On Windows Vista the process runs with Low Integrity.
     -n         Specifies timeout in seconds connecting to remote computers.
     -p         Specifies optional password for user name. If you omit this
                you will be prompted to enter a hidden password.
     -s         Run the remote process in the System account.
     -u         Specifies optional user name for login to remote
                computer.
     -v         Copy the specified file only if it has a higher version number
                or is newer on than the one on the remote system.
     -w         Set the working directory of the process (relative to
                remote computer).
     -x         Display the UI on the Winlogon secure desktop (local system
                only).
     -priority  Specifies -low, -belownormal, -abovenormal, -high or
                -realtime to run the process at a different priority. Use
                -background to run at low memory and I/O priority on Vista.
     computer   Direct PsExec to run the application on the remote
                computer or computers specified. If you omit the computer
                name PsExec runs the application on the local system,
                and if you specify a wildcard (\\*), PsExec runs the
                command on all computers in the current domain.
     @file      PsExec will execute the command on each of the computers listed
                in the file.
     program    Name of application to execute.
     arguments  Arguments to pass (note that file paths must be
                absolute paths on the target system).

You can enclose applications that have spaces in their name with
quotation marks e.g. psexec \\marklap "c:\long name app.exe".
Input is only passed to the remote system when you press the enter
key, and typing Ctrl-C terminates the remote process.

If you omit a user name the process will run in the context of your
account on the remote system, but will not have access to network
resources (because it is impersonating). Specify a valid user name
in the Domain\User syntax if the remote process requires access
to network resources or to run in a different account. Note that
the password is transmitted in clear text to the remote system.

Error codes returned by PsExec are specific to the applications you
execute, not PsExec.

Нет, ты не можешь этого сделать. Или, точнее, ты не должен сделай это. Большинство людей на этом сайте являются ИТ-отдел, как таковой, на самом деле не очень заинтересован в обсуждении способов обхода правил и контроля вашего ИТ-отдела. Ваш ИТ-отдел не хочет, чтобы у вас был доступ администратора, иначе они бы его вам предоставили.

Попробуйте пройти через соответствующие каналы (например, поговорите со своими администраторами) и объясните им, что вам нужен доступ администратора для эффективного выполнения своей работы. Они, вероятно, не смогут предоставить вам административный доступ на вашем корпоративном ноутбуке в соответствии с политикой компании, но они могут предоставить вам виртуальную машину в лаборатории для игры.

PS: Извините, если я звучу сварливо. Еще недостаточно кофе.

У меня есть решение, но это зависит от нескольких вещей:

  1. Насколько технически подкованы ИТ-специалисты

  2. Если то, что вы пытаетесь запустить, можно вызвать из командной строки

По сути, они могут скомпилировать исполняемый файл, который вызывает нужную вам программу, передавая необходимые учетные данные для работы в режиме с повышенными правами. Для этого можно использовать .Net, и это довольно тривиально. Поскольку exe скомпилирован (по сравнению со сценарием), учетные данные, используемые для запуска exe, не отображаются в виде открытого текста.