Как убрать разрешение администратора в windows 10

Опубликовано 03.03.2023

Какие возможности дают права администратора

При инсталляции «Виндовс» 10 предлагает пользователю выбрать тип создаваемого профиля — обычный либо с правами администратора. Без создания учетной записи (УЗ) в ОС войти невозможно. В более ранних версиях Windows допускается создать только пользовательский аккаунт, без дополнительных привилегий. Это необходимо для безопасности, чтобы неопытные юзеры не внесли необратимые изменения в систему, грозящие неблагоприятными последствиями, вплоть до выхода Windows из строя. Аккаунт администратора при этом создается в скрытом режиме, и по умолчанию он недоступен.

Но расширенная УЗ — это не только возможные неблагоприятные последствия, но и отличный инструмент для решения различных проблем управления ОС. Администратор обладает правами на:

• изменение и удаление всех файлов (в т. ч. скрытых и принадлежащих другим юзерам);
• создание и корректировку профилей;
• инсталляцию и удаление приложений и драйверов;
• изменение настроек «Виндовс» и файервола;
• запуск отдельных утилит, имеющих определенные ограничения.

Главная особенность профиля с правами администратора — он единственный в конкретной ОС. Только владелец расширенного аккаунта может вносить коррективы в неограниченном количестве. Тип УЗ указан в пользовательском профиле в «Пуске».

Как дать права администратора в Windows

Чтобы дать другому юзеру расширенные возможности, администратор выполняет на выбор один из следующих шагов (или применяет эти методы поочередно, если какой-либо из них не срабатывает).

В параметрах

«Виндовс» 10 подарила юзерам новую возможность для редактирования аккаунтов в «Параметрах» (все манипуляции выполняются из УЗ администратора):

• Используйте win+i и пройдите путь «Учетные записи» → «Семья и…».

• В блоке «Другие пользователи» укажите нужный аккаунт и примените действие «Изменить тип УЗ». Если здесь нет другого юзера, добавьте его, следуя инструкции Windows, после чего совершите описываемые действия.
• Далее в окошке «Тип УЗ» укажите «Администратор» и подтвердите OK.

Следующий вход в «Виндовс» предоставит назначенному пользователю расширенные права.

Через панель управления

Этого же результата возможно добиться и посредством панели управления. Откройте ее через поиск «Виндовс» и войдите в «Учетные записи…».

Активируйте «Управление другой УЗ».

Далее укажите нужного юзера и кликните «Изменение типа УЗ». Затем отметьте «Администратор» и подтвердите действие.

Посредством программы «Локальные пользователи и группы»

Еще один вариант для присвоения расширенных прав — системный инструмент «Локальные пользователи и группы»:

• Примените в строке, открытой win+r, комбинацию lusrmgr.msc. Откроется утилита.
• В директории «Пользователи» 2 раза кликните ЛКМ по нужному юзеру.

• Откройте вкладку «Членство в…» и кликните «Добавить», после чего наберите «Администраторы» и подтвердите OK.

• Теперь удалите данного пользователя из группы «Гости» (либо другой указанной для него) — выделите наименование и выберите нужное действие.

Подтвердите все действия кнопками «Применить» и OK.

В командной строке

Чтобы дать расширенные права другому юзеру, активируйте командную строку (тоже с админскими правами). Ввод команд подтверждается «Энтер».

• net users.

Команда предоставит перечень аккаунтов, зарегистрированных в ОС. Нужно в точности запомнить или записать имя выбранного юзера.

• net localgroup Администраторы название_аккаунта /add.

Комбинация добавит юзера в перечень администраторов ОС.

• net localgroup Пользователи название_аккаунта /delete.

Команда удалит аккаунт из перечня пользователей.

Важно! Если «Виндовс» выпущена на английском языке, то в командах нужно применять Administrators и Users. Наименования аккаунтов, состоящие из 2 и более слов, берутся в кавычки.

Через локальные групповые политики

В поле, открытом через win+r, наберите gpedit.msc. В редакторе ЛГП проходим «Конфигурация компьютера»→«Конфигурация Windows» и раскрываем параметры безопасности. Теперь нам нужны еще одни параметры безопасности — в «Локальных политиках». Справа ищем «Учетные записи: Состояние УЗ «Администратор».

Нажимаем на параметр, включаем его, применяем и подтверждаем OK.

Как получить права администратора в «Виндовс»

Кроме выдачи расширенных прав другим юзерам, их можно получить и самостоятельно. Нужен дополнительный инструмент — установочный носитель «Виндовс» 10, версия и разрядность которой идентична ОС, действующей на компьютере. Далее необходимо зайти в «БИОС» и в разделе BOOT выставить приоритет загрузки со съемного носителя. Когда появится экран установки, нажимаем Shift+F10. В открывшейся командной строке (с админскими правами) производим те же манипуляции, что описывались немного выше. Используем имя своего аккаунта. Чтобы окончить процедуру, закрываем командную строку и перезагружаем устройство.

Отключить права администратора в Windows

Иногда аккаунт администратора создает юзерам некоторые сложности в управлении ПК. Многие боятся допустить некорректные действия и нанести вред ОС. Поэтому нужно знать, как правильно отключить расширенные возможности в Windows.

Как отключить аккаунт администратора через «Управление компьютером»

Деактивировать УЗ в «Виндовс» 10 возможно посредством утилиты «Управление компьютером». Также здесь корректируются аккаунты других юзеров (кроме УЗ Microsoft).

1. Кликаем ПКМ по «Пуск» и открываем «Управление ПК».
2. Заходим в «Локальные пользователи и …».
3. Справа в директории «Пользователи» указываем нужный аккаунт и кликаем по нему 2 раза ЛКМ.
4. В общей вкладке отключаем УЗ.

1. Применяем изменения и подтверждаем OK.

«Виндовс» начнет работать с измененными параметрами после следующего запуска. Обратно УЗ включается аналогично.

Другие способы отключения прав администратора

Для деактивации расширенных прав применяем в командной строке комбинацию net user имя_администратора /active:no. Заменив no на yes, мы заново активируем аккаунт администратора. Так же возможно отключать и включать любую локальную учетную запись.

Можно использовать и редактор ЛГП. Выше рассматривалось, как дать расширенные права этим способом. Заходим в ту же локацию и отмечаем «Отключен».

Применяем изменения и подтверждаем OK.

Как удалить Администратора

Чтобы полность удалить аккаунт администратора, нужно внести изменения в реестр «Виндовс». Просто удалить папку система не разрешит даже через командную консоль. В реестре нужен раздел HKEY_LOCAL_MACHINE.

• Откройте папку SAM. Внутри есть директория с тем же названием. Кликните по ней ПКМ и выберите «Разрешения».

• Отметьте группу «Администраторы» и в разрешениях дайте полный доступ. Для обновления реестра нажмите F5.

• Затем проделайте путь SAM→Domains→Account→Users→Names.
• Остановитесь на папке «Администраторы» и кликните по ней ПКМ.

• Выберите из меню действие «Удалить».

Перед манипуляциями по удалению аккаунта администратора сделайте резервную копию реестра. В случае ошибки можно будет восстановить работу Windows.

Как действовать в некоторых «нештатных» ситуациях

Иногда возникают некоторые «нештатные» ситуации. Они не страшны, но действовать нужно спокойно, соблюдая предложенные алгоритмы.

Если отключенный или удаленный аккаунт администратора был единственным, то спасти ситуацию возможно, только запустившись в безопасном режиме. ОС при этом предоставляет пользователю максимальные права. Нажмите win+r и наберите msconfig. Во вкладке «Загрузка» укажите «Безопасный режим», подтвердите OK сохранение изменений и отправьте ПК на перезагрузку.

Когда система запустится, необходимо создать новый аккаунт с правами администратора.

Кроме этого, вам могут понадобиться расширенные возможности для совершения каких-либо действий, но доступа к аккаунту администратора при этом нет. Сделайте следующее:

• Нажмите win+I и укажите «Обновление и…»
• В разделе «Восстановление» (в отдельных вариантах) выберите немедленный перезапуск системы.
• В дополнительных действиях пройдите «Поиск и устранение»→«Доппараметры»→«Командная строка».

Теперь добавьте свой аккаунт в перечень администраторов, как описано в начале статьи.

Заключение

С помощью этих нехитрых методов вы сможете как самостоятельно получить права администратора, так и дать их другому пользователю. Если вы испытываете затруднения, специалисты «АйТи Спектр» помогут вам разрешить их, а также предоставят услуги системного администратора.

В Виндовс 10 активно развилась функция администрирования. Она была создана для защиты системных файлов, контроля установки нового ПО и регулирования посторонних программ. Однако порой данная мера безопасности сильно мешает, не давая другим локальным пользователям инсталлировать нужные приложения или залезть в некоторые места файлообменника. В таком случае полезно знать, как убрать права администратора в 10 версии ОС Windows.

С использованием командной строки

Программисты знают, что если нет алгоритма по устранению какой-то неполадки внутри ОС, то лучшее решение — прибегнуть к консоли.

• Ввести в поисковое окно Windows 10 последовательность букв «cmd».

• Среди всплывших результатов нажать на «Запустить от имени Администратора».

• Теперь требуется завести нового пользователя и наделить его возможностью администрирования. При этом следует обязательно отменить влияние старого администратора.
• При помощи команды «net users» вывести на экран список юзеров.

• Вбить нового (например, New_Admin_02) и задать для него индивидуальные параметры: net localgroup Администраторы New_Admin_02 /add и нажать Enter.

• Осталось избавиться от предыдущего управленца. Следует закрыть все и зайти в консоль уже от имени нового админа.

• В командную строку вписать команду: net localgroup Пользователи имя_пользователя /delete.

• Учетка обновлена, и права админа присвоены новому человеку.

С помощью утилиты Локальная политика безопасности

Понадобится прибегнуть к функции окна «Выполнить»:

• Забиваем в строку комбинацию secpol.msc.

• Выбираем ветку локальной политики, находим там параметры безопасности. Далее откроются два окна, нужно в правом выбрать «Учетные записи: Состояние «Администратор»».

• Внизу поставить отметку на пункте «Отключен».
• Выйти из режима.

Есть возможность проделать аналогичные действия похожей программой – Локальные пользователи и группы. Она сменит или добавит нового админа, аналогично консоли.

• Зажать клавиши «Win+R», забить в строку compmgmt.msc и нажать «Ввод».

• Откроется список всех заведенных аккаунтов пользователей.
• Кликнуть на том, которому нужно дать разрешение на администрирование.
• При двойном щелчке выплывет поле «Свойства пользователя», там открыть вкладку «Членство в группах», внизу нажать кнопку «Добавить».

• Создать новую строку, подписать «Администраторы», подтвердить.

• Открыть тип объекта — группы, нажать «Удалить», «ОК»

• Перезагрузить устройство. После этого пользователь, которого включили в раздел Администраторы, будет иметь необходимые права.

Утилита управление компьютером

Чтобы отключить запрос прав администратора на конкретном аккаунте, можно зайти в программную панель. При помощи простого алгоритма деактивируем права у одного пользователя и включаем у другого:

• Развернуть панель управления через строку поиска на панели задач.

• Найти и кликнуть на пункт «Учетные записи пользователя».

• Выбрать подпункт «Управление другой учетной записью».

• В списке отметить пользователя, которому необходимо разрешить администрирование, и нажать пункт с изменениями типа аккаунта.

• Поставить галочку в поле напротив администратора.

Можно и совсем отключить контроль UAC на некоторое время, там же:

• Зайти в «Панель управления» — «Учетные записи пользователя».

• В пространстве отдела установить ползунок на самом нижнем уровне, напротив пометки: «Никогда не уведомлять».

Не рекомендуется часто менять администраторов или отключать контроль учетных записей вовсе. Все-таки защитная функция ОС призвана обезопасить от сомнительных программ, действий и вторжений.



В процессе пользования компьютером можно заметить, что изначально пользователь не имеет полного доступа ко всем настройкам и параметрам. Как следствие, не удаётся внести некоторые значительные изменения в систему. Чтобы исправить эту ситуацию необходимо получить права администратора системы. В этой статье разберёмся с тем, как получить или убрать права администратора в Windows 10 и более ранних версиях. Давайте же начнём. Поехали!

Права администратора — это очень полезная вещь, которая даст вам более широкие полномочия при работе с системой. Запустить программу с правами администратора можно, перейдя к свойствам ярлыка, кликнув правой кнопкой мыши, однако, в этом случае они будут неполными и для некоторых изменений их может не хватить, например, для активации «Режима бога». Получение нужных прав в системе будет полезно многим пользователям. Рассмотрим процесс включения этого режима на примере самой новой версии операционной системы Windows 10, если на вашем компьютере установлен более старый Виндовс, в этом нет ничего страшного, поскольку процесс ничем не отличается.

Первым делом необходимо открыть окно «Выполнить». Делается это нажатием комбинации клавиш Win+R. Далее, в соответствующем поле для поиска введите control userpasswords2 и нажмите кнопку «ОК».

После этого появится новое окно «Учётные записи пользователей». Перейдите к вкладке «Дополнительно» и нажмите одноимённую кнопку в разделе «Дополнительное управление пользователями». Вы попадёте в окно утилиты, которая называется «Управление локальными пользователями и группами». Перейдите к папке «Пользователи», расположенной слева.

Дважды щёлкните по учётной записи «Администратор», чтобы открыть её свойства. Находясь на вкладке «Общие», снимите птичку с пункта «Отключить учётную запись», а затем подтвердите внесённые изменения. Готово. Остаётся только перезагрузить компьютер, чтобы новые параметры вступили в силу.

Если при запуске системы появляется страница выбора пользователя, то можно удалить старую учётную запись, однако, в этом случае можно потерять некоторые данные. Поэтому лучше всего выполнять эту операцию сразу после того, как была переустановлена система.

Если необходимо убрать права администратора, откройте то же самое окно и установите галочку напротив пункта «Отключить учётную запись». Если вы используете Windows 8, то проще и удобнее всего это можно сделать через командную строку. Воспользуйтесь комбинацией клавиш Win+R и пропишите в поле для поиска «cmd». Далее, введите в командной строке команду:

Net user Администратор /Active:no

Нажмите Enter для выполнения. Как только команда будет выполнена, на экране появится специальное сообщение с информацией о том, что функция была отключена. Точно так же можно включать или отключать любые другие учётные записи, указывая их имена вместо «Администратор» и «yes» — если хотите получить, либо «no» — если хотите убрать права для конкретного пользователя. Через командную строку сделать это гораздо проще и быстрее, но, если отсутствие интерфейса неудобно для вас, вы можете воспользоваться классическим способом, приведённым выше.

Нужно заметить, что если учётная запись обладает правами администратора системы, то их получат и все вредоносные программы, попавшие на компьютер. То есть зловредное ПО сможет нанести больший вред всей системе. Если установленное антивирусное программное обеспечение недостаточно надёжно или отсутствует вовсе, лучше воздержаться от активации полных полномочий, чтобы не навредить безопасности компьютера.

Теперь вы знаете, что делать, если понадобится получить полные права администратора в Windows 8, 10 и более ранних версиях, также вы всегда сможете легко их убрать, если возникнет такая необходимость. Пишите в комментариях помогла ли эта статья разобраться в вопросе и спрашивайте, если что-то осталось непонятным после ознакомления с материалом.

Некоторые программы при запуске могут требовать повышения прав до администратора (значок щита у иконки), однако на самом деле для их нормальной работы права администратора не требуется (например, вы можете вручную предоставить необходимые NTFS разрешения пользователям на каталог программы в Program Files и ее ветки реестра). Если на компьютере включен контроль учетных записей (User Account Control), то при запуске такой программы из-под непривилегированного пользователя появится запрос UAC и Windows потребует от пользователя ввести пароль администратора. Чтобы обойти этот механизм многие просто отключают UAC или предоставляют пользователю права администратора на компьютере, добавляя его в группу локальных администраторов. Оба эти способа не рекомендуется широкого использовать, т.к. вы снижаете безопасность и защиту Windows. В этой статье мы рассмотрим, как запустить программу, которая требует права администратора, от имени простого пользователя и подавить запрос повышения привилегий UAC.

Предоставить пользователю права на запуск программы

Программа может запрашивать права администратора при запуске, если:

• Программе нужно получить доступ на системный каталог или файл, на отсутствуют NTFS разрешения для непривилегированных пользователей;
• Если программа собрана со специальным флагом, которые требует повышения прав при запуске (requireAdministrator).

В первом случае для решения проблемы администратору достаточно предоставить RW или Full Control разрешения на каталог программы или необходимый системных каталог. Например, программа хранит свои файлы (логи, файлы конфигурации и т.д.) в собственной папке в C:\Program Files (x86)\SomeApp) или каком-то системном каталоге. Для корректной работы программы пользователю нужны права записи в эти файлы. По умолчанию у пользователей нет прав на редактирование данного каталога, соответственно, для нормальной работы такой программы нужны права администратора.

Чтобы разрешить запуск программы под непривилегированным пользователем администратора достаточно вручную предоставить пользователю (или встроенной группе Users) права на изменение/запись на файл/каталог на уровне файловой системы NTFS.

Чтобы найти список файлов, папок и ключей реестра, к которым обращается программа, воспользуйтесь утилитой Process Monitor (https://learn.microsoft.com/en-us/sysinternals/downloads/procmon). Включите фильтр по имени процесса программы и найдите все ресурсы, при доступе к которым появляется Access Denied. Предоставьте необходимые права на папки/файлы/ветки реестра.

Примечание. В рекомендациях Microsoft для разработчиков указано, что не рекомендуется хранить изменяющиеся данных приложения в каталоге C:\Program Files неверна. Правильнее хранить данные приложения в профиле пользователя. Но это уже вопрос о лени и некомпетентности разработчиков программ.

Запуск программы, требующей права администратора, от обычного пользователя

Ранее мы уже описывали, как можно с помощью параметра RunAsInvoker отключить запрос UAC для конкретной программы. Однако этот метод недостаточно гибкий.

Рассмотрим более простой способ принудительного запуска любой программы без прав администратора (и без ввода пароля админа) при включенном UAC (4,3 или 2 уровень ползунка UAC).

Для примера возьмем утилиту редактирования реестра — regedit.exe (она находится в каталоге C:\windows\). Обратите внимание на щит UAC у иконки. Данный значок означает, что для запуска этой программы будет запрошено повышение привилегий через UAC.

Если запустить
regedit.exe
, то перед вами появится окно User Account Contol с запросом пароля пользователя с правами администратора на этом компьютере (
Do you want to allow this app to make changes to your device?
). Если не указать пароль и не подтвердить повышение привилегии, приложение не запустится.

Попробуем обойти запрос UAC для этой программы. Создайте на рабочем столе файл run-as-non-admin.bat со следующим текстом:

cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && start "" %1"

Теперь для принудительного запуска приложения без прав администратора и подавлением запроса UAC, просто перетащите нужный exe файл на этот bat файл на рабочем столе.

Редактор реестра должен запуститься без появления запроса UAC и без ввода пароля администратора. Откройте диспетчер процессов, добавьте столбец Elevated и убедитесь, что в Windows запушен непривилегированный процесс regedit (запущен с правами пользователя).

Попробуйте отредактировать любой параметр в ветке HKEY_LOCAL_MACHINE. Как вы видите доступ на редактирование реестра в этой ветке запрещен (у данного пользователя нет прав на запись в системные ветки реестра). Но вы можете добавлять и редактировать ключи в собственной ветке реестра пользователя — HKEY_CURRENT_USER.

Аналогичным образом через bat файл можно запускать и конкретное приложение, достаточно указать путь к исполняемому файлу.

run-app-as-non-admin.bat

Set ApplicationPath="C:\Program Files\MyApp\testapp.exe"
cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && start "" %ApplicationPath%"

Также можно добавить контекстное меню, которое добавляет у всех приложений возможность запуска без повышения прав. Для этого создайте файл runasuser.reg файл, скопируйте в него следующий код, сохраните и импортируйте его в реестр двойным щелчком по reg файлу (понадобятся права администратора).

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\*\shell\forcerunasinvoker]
@="Run as user without UAC elevation"
[HKEY_CLASSES_ROOT\*\shell\forcerunasinvoker\command]
@="cmd /min /C \"set __COMPAT_LAYER=RUNASINVOKER && start \"\" \"%1\"\""

После этого для запуска любого приложения без прав админа достаточно выбрать пункт “Run as user without UAC elevation” в контекстном меню проводника Windows File Explorer.

Еще раз напомню, что использование программы в режиме RUNASINVOKER не запускает приложение с правами администратора. Параметр AsInvoker подавляет запрос UAC и указывает программе, что она должна запуститься с правами текущего пользователя и не запрашивать повышение привилегий. Если программе действительно нужны повышенные права для редактирования системных параметров или файлов, она не будет работать или повторно запросит права администратора.

Запуск программы в режиме RunAsInvoker из командной строки

Переменная окружения __COMPAT_LAYER позволяет устанавливать различные уровни совместимости для приложений (вкладка Совместимость в свойствах exe файла). С помощью этой переменной можно указать настройки совместимости, с которыми нужно запускать программу. Например, для запуска приложения в режиме совместимости с Windows 7 и разрешением 640×480, установите:

set __COMPAT_LAYER=Win7RTM 640x480

Из интересных нам опций переменной __COMPAT_LAYER можно выделить следующие параметры:

• RunAsInvoker — запуск приложения с привилегиями родительского процесса без запроса UAC;
• RunAsHighest — запуск приложения с максимальными правами, доступными пользователю (запрос UAC появляется, если у пользователя есть права администратора);
• RunAsAdmin — запустить приложение с правами администратора (запрос AUC появляется всегда).

Следующие команды включат режим RUNASINVOKER для текущего процесса и запускает указанную программу:

set __COMPAT_LAYER=RUNASINVOKER

start "" "C:\Program Files\MyApp\testapp.exe"

Включить режим RunAsInvoker в манифесте exe файла программы

Как мы уже говорили выше, Windows показывает значок щита UAC у программ, которые требуют повышенных привилегий для запуска. Это требование разработчики задают при разработке в специальной секции программы — манифесте.

Вы можете отредактировать манифест исполняемого exe файла программы и отключить требование запускать программу в привилегированном режиме.

Для редактирования манифеста программы можно использовать бесплатную утилиту Resource Hacker. Откройте исполняемый файл программы в Resource Hacker.

В дереве слева перейдите в раздел Manifest и откройте манифест программы. Обратите внимание на строки:

<requestedPrivileges>
<requestedExecutionLevel          level="requireAdministrator"          uiAccess="false"/>
</requestedPrivileges>

Именно благодаря опции requireAdministrator Windows всегда запускает эту программу с правами администратора.

Измените requireAdministrator на asInvoker и сохраните изменения в exe файле.

Обратите внимание, что теперь у иконки программы пропал щит UAC и вы можете запустить ее без запроса прав администратора с привилегиями текущего пользователя.

Если исполняемый файл программы подписан цифровой подпись (сертификатом Code Signing), то после модификации exe файла, он может перестать запускаться или выдавать предупреждение.

В этом случае можно заставить программу использовать внешний файл манифеста. Создайте в каталоге с ехе файлом текстовый файл
app.exe.manifest
(например Autologon.exe.manifest) и скопируйте в него код манифеста из Resource Hacker. Измените requireAdministrator на asInvoker. Сохраните файл.

Чтобы Windows при запуске приложений всегда пробовала использовать внешний файл манифеста, включите специальный параметр реестра:

REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide" /v PreferExternalManifest /t REG_DWORD /d 1 /f

Перезагрузите Windows и убедитесь, что программа использует внешний файл манифеста, и запускается без прав администратора.

Запуск программы с сохраненным паролем администратора

Если способы запуска программы через режим RunAsInvoker не работают для вашего устаревшего приложения, можно попробовать запускать такие программы в сессии пользователя с помощью сохраненного пароля администратора. Этот способ мы целенаправленно оставили последним, т.к. это наименее безопасный способ запуска программ без предоставления прав локального администратора пользователю.

Создайте на рабочем столе новый ярлык для запуска программы. Укажите имя компьютера, имя локального администратора и полный путь к исполняемому файлу программы.

Например:

runas /user:wks-1122h2\root /savecred "C:\CorpApp\myapp.exe"

Запустите ярлык под пользователем. При первом запуске откроется командная строка, в которой нужно будет указать пароль администратора.

Утилита RunAs при запуске с параметром /SAVECRED сохраняет имя пользователя и пароль в диспетчере паролей Windows (Credentials Manager).

При следующем запуске ярлыка утилита runas автоматически получит сохраненный пароль из Credentials Manager и использует его для запуска программы от имени указанного локального администратора (пароль не запрашивается повторно при каждом запуске).

Вы можете вывести список пользователей с сохраненными паролями в Credential Manager с помощью команды:

RunDll32.exe keymgr.dll,KRShowKeyMgr

В Windows 11 при запуске такого ярлыка появляется ошибка:

RUNAS ERROR: Unable to run - C:\CorpApp\myapp.exe
740: The requested operation requires elevation.

Чтобы исправить ошибку, отредактируйте команду в свойствах ярлыка. Замените ее на:

C:\Windows\System32\runas /profile /user:WKS-1122H2\root /savecred "cmd.exe /C C:\CorpApp\myapp.exe"

Как мы указывали выше, использование параметра
/savecred
не безопасно, т.к. пользователь, в чьем профиле сохранен чужой пароль может использовать его для запуска любой программы или команды под данными привилегиями, или даже сменить пароль пользователя с правами администратора. Кроме того, сохраненные пароли из Credential Manager можно получить в открытом виде с помощью утилит типа Mimikatz, лучше <запретить использование сохраненных паролей.

В Windows можно заблокировать возможность сохранения паролей в Credential Manager с помощью параметра групповой политики Network access: Do not allow storage of passwords and credentials for network authentication (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options).

Преодолеть недостаток использования сохраненного пароля через runas позволяют несколько сторонних утилит. Например, AdmiLink, RunAsRob, RunAsSpc. Эти программы позволяют сохранить пароль администратора в зашифрованном виде и безопасно запустить программу с правами администратора. Эти утилиты проверяют при запуске путь и контрольную сумму исполняемого файла и не позволят запустить произвольную программу.