Несмотря на административные права учетной записи, часто Windows 10 требует прав администратора при запуске программ. Это неудобно, так как откладывает запуск приложений и, как следствие, замедляет работу. Поэтому вопрос о том, как убрать запуск от имени администратора Windows 10, является актуальным для многих пользователей операционной системы.
Нужно обратить внимание, что несмотря на то, что сообщение о запуске ПО от администратора высвечиваться не будет, соответствующие права должна иметь учетная запись, в которой запускается приложение. Это условие обязательное при настройках запуска ПО от администратора.
Способы запуска программ
Для начала нужно разобраться, какими способами запускается приложение. От этого зависит настройка показа сообщения о запросе административных прав. Приложения в ОС Windows 10 можно запускать следующими способами:
- через меню Пуск;
- с помощью ярлыка на рабочем столе;
- через элемент Администрирование в Панели управления.
В каждом из них существуют настройки запуска ПО без запроса административных прав. Смысл настройки в том, чтобы эти права присваивались программе по умолчанию. В этом случае система перестанет их запрашивать.
Речь идет именно о сообщении на запрос прав администратора. Это наиболее простой и быстрый способ присвоения административных прав программе при запуске. Чтобы выполнить эту операцию через меню Пуск, нужно:
- открыть меню Пуск клавишей Win на клавиатуре или кнопкой, расположенной в левом, нижем углу экрана (базовые настройки Windows 10);
- на клавиатуре набрать название программы;
- на значке найденного соответствия нужно нажать правой клавишей мыши;
- в контекстном меню выбрать Дополнительно-Запуск от имени Администратора.
В этом случае программа запустится от имени администратора, если для такой режим запуска предусмотрен. Этот способ актуален для приложений, находящихся на начальном экране.
Как убрать запуск от имени администратора Windows 10 через ярлык на рабочем столе
Ярлыки различных приложений помещаются на рабочий стол для удобного и быстрого запуска. Через эти элементы можно управлять запуском приложения и показом запроса административных прав. Чтобы запускать программы с соответствующими правами или отключить эту функцию, нужно выполнить несколько действий:
- зайти в Свойства ярлыка (правой клавишей мыши по ярлыку-Свойство);
- открыть вкладку Ярлык-Дополнительно;
- в нижней части окна поставить галочку на флажке Выполнять эту программу от имени Администратора;
- Нажать Применить или ОК.
В этом случае запуск выбранного ПО всегда будет происходит с административными правами.
Как убрать запуск от имени администратора Windows 10 через элемент Администрирование в Панели управления
Часто пользователей не устраивает сам факт показа сообщений о требованиях административных прав. Особенно это касается офисных работников, для которых время – деньги.
Убрать это сообщение можно с помощью элемента Администрирование, расположенного в панели управления Windows 10 и других версий операционной системы. Суть принципа заключается в том, что в ОС есть так называемый супер администратор с привилегированными правами. Она отключена по умолчанию в угоду безопасности. Для включения учетной записи супер администратора выполняют следующие действия:
- зайти в панель управления, где в правом верхнем углу переключить Просмотр на Крупные или Мелкие значки (если включен просмотр Категории);
- перейти по ветке Администрирование-Управление компьютером;
- в открывшемся окне в списке слева выбрать Локальные пользователи и группы;
- зайти в Пользователи, где в списке найти Администратор;
- на пункте Администратор кликнуть правой кнопкой мыши и зайти в Свойства;
- в открывшемся диалоговом окне снять галочку на пункте Отключить учетную запись.
После представленный действий учетная запись привилегированного администратора будет включена. Далее стандартными действиями запуска программ можно запускать приложения от имени супер Администратора.
Контроль учетных записей также можно отключить. В этом случае сообщения о запуске ПО с административными правами не будет запускаться и мешать пользователю. Для этого в командной строке нужно прописать команду useraccountcontrolsettings. Откроется окно контроля учетных записей. В его левой части расположен бегунок, который нужно переключить в самую нижнюю позицию. Это отключить уведомление системы при попытках внесения изменений или установке ПО. Однако в таком случае страдает безопасность ОС Windows 10, что пользователь обязательно должен понимать.
Некоторые программы при запуске могут требовать повышения прав до администратора (значок щита у иконки), однако на самом деле для их нормальной работы права администратора не требуется (например, вы можете вручную предоставить необходимые NTFS разрешения пользователям на каталог программы в Program Files и ее ветки реестра). Если на компьютере включен контроль учетных записей (User Account Control), то при запуске такой программы из-под непривилегированного пользователя появится запрос UAC и Windows потребует от пользователя ввести пароль администратора. Чтобы обойти этот механизм многие просто отключают UAC или предоставляют пользователю права администратора на компьютере, добавляя его в группу локальных администраторов. Оба эти способа не рекомендуется широкого использовать, т.к. вы снижаете безопасность и защиту Windows. В этой статье мы рассмотрим, как запустить программу, которая требует права администратора, от имени простого пользователя и подавить запрос повышения привилегий UAC.
Содержание:
- Предоставить пользователю права на запуск программы
- Запуск программы, требующей права администратора, от обычного пользователя
- Запуск программы в режиме RunAsInvoker из командной строки
- Включить режим RunAsInvoker в манифесте exe файла программы
- Запуск программы с сохраненным паролем администратора
Предоставить пользователю права на запуск программы
Программа может запрашивать права администратора при запуске, если:
- Программе нужно получить доступ на системный каталог или файл, на отсутствуют NTFS разрешения для непривилегированных пользователей;
- Если программа собрана со специальным флагом, которые требует повышения прав при запуске (requireAdministrator).
В первом случае для решения проблемы администратору достаточно предоставить RW или Full Control разрешения на каталог программы или необходимый системных каталог. Например, программа хранит свои файлы (логи, файлы конфигурации и т.д.) в собственной папке в C:\Program Files (x86)\SomeApp) или каком-то системном каталоге. Для корректной работы программы пользователю нужны права записи в эти файлы. По умолчанию у пользователей нет прав на редактирование данного каталога, соответственно, для нормальной работы такой программы нужны права администратора.
Чтобы разрешить запуск программы под непривилегированным пользователем администратора достаточно вручную предоставить пользователю (или встроенной группе Users) права на изменение/запись на файл/каталог на уровне файловой системы NTFS.
Чтобы найти список файлов, папок и ключей реестра, к которым обращается программа, воспользуйтесь утилитой Process Monitor (https://learn.microsoft.com/en-us/sysinternals/downloads/procmon). Включите фильтр по имени процесса программы и найдите все ресурсы, при доступе к которым появляется Access Denied. Предоставьте необходимые права на папки/файлы/ветки реестра.
Примечание. В рекомендациях Microsoft для разработчиков указано, что не рекомендуется хранить изменяющиеся данных приложения в каталоге C:\Program Files неверна. Правильнее хранить данные приложения в профиле пользователя. Но это уже вопрос о лени и некомпетентности разработчиков программ.
Запуск программы, требующей права администратора, от обычного пользователя
Ранее мы уже описывали, как можно с помощью параметра RunAsInvoker отключить запрос UAC для конкретной программы. Однако этот метод недостаточно гибкий.
Рассмотрим более простой способ принудительного запуска любой программы без прав администратора (и без ввода пароля админа) при включенном UAC (4,3 или 2 уровень ползунка UAC).
Для примера возьмем утилиту редактирования реестра — regedit.exe (она находится в каталоге C:\windows\). Обратите внимание на щит UAC у иконки. Данный значок означает, что для запуска этой программы будет запрошено повышение привилегий через UAC.
Если запустить
regedit.exe
, то перед вами появится окно User Account Contol с запросом пароля пользователя с правами администратора на этом компьютере (
Do you want to allow this app to make changes to your device?
). Если не указать пароль и не подтвердить повышение привилегии, приложение не запустится.
Попробуем обойти запрос UAC для этой программы. Создайте на рабочем столе файл run-as-non-admin.bat со следующим текстом:
cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && start "" %1"
Теперь для принудительного запуска приложения без прав администратора и подавлением запроса UAC, просто перетащите нужный exe файл на этот bat файл на рабочем столе.
Редактор реестра должен запуститься без появления запроса UAC и без ввода пароля администратора. Откройте диспетчер процессов, добавьте столбец Elevated и убедитесь, что в Windows запушен непривилегированный процесс regedit (запущен с правами пользователя).
Попробуйте отредактировать любой параметр в ветке HKEY_LOCAL_MACHINE. Как вы видите доступ на редактирование реестра в этой ветке запрещен (у данного пользователя нет прав на запись в системные ветки реестра). Но вы можете добавлять и редактировать ключи в собственной ветке реестра пользователя — HKEY_CURRENT_USER.
Аналогичным образом через bat файл можно запускать и конкретное приложение, достаточно указать путь к исполняемому файлу.
run-app-as-non-admin.bat
Set ApplicationPath="C:\Program Files\MyApp\testapp.exe"
cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && start "" %ApplicationPath%"
Также можно добавить контекстное меню, которое добавляет у всех приложений возможность запуска без повышения прав. Для этого создайте файл runasuser.reg файл, скопируйте в него следующий код, сохраните и импортируйте его в реестр двойным щелчком по reg файлу (понадобятся права администратора).
Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\*\shell\forcerunasinvoker] @="Run as user without UAC elevation" [HKEY_CLASSES_ROOT\*\shell\forcerunasinvoker\command] @="cmd /min /C \"set __COMPAT_LAYER=RUNASINVOKER && start \"\" \"%1\"\""
После этого для запуска любого приложения без прав админа достаточно выбрать пункт “Run as user without UAC elevation” в контекстном меню проводника Windows File Explorer.
Еще раз напомню, что использование программы в режиме RUNASINVOKER не запускает приложение с правами администратора. Параметр AsInvoker подавляет запрос UAC и указывает программе, что она должна запуститься с правами текущего пользователя и не запрашивать повышение привилегий. Если программе действительно нужны повышенные права для редактирования системных параметров или файлов, она не будет работать или повторно запросит права администратора.
Запуск программы в режиме RunAsInvoker из командной строки
Переменная окружения __COMPAT_LAYER позволяет устанавливать различные уровни совместимости для приложений (вкладка Совместимость в свойствах exe файла). С помощью этой переменной можно указать настройки совместимости, с которыми нужно запускать программу. Например, для запуска приложения в режиме совместимости с Windows 7 и разрешением 640×480, установите:
set __COMPAT_LAYER=Win7RTM 640x480
Из интересных нам опций переменной __COMPAT_LAYER можно выделить следующие параметры:
- RunAsInvoker — запуск приложения с привилегиями родительского процесса без запроса UAC;
- RunAsHighest — запуск приложения с максимальными правами, доступными пользователю (запрос UAC появляется, если у пользователя есть права администратора);
- RunAsAdmin — запустить приложение с правами администратора (запрос AUC появляется всегда).
Следующие команды включат режим RUNASINVOKER для текущего процесса и запускает указанную программу:
set __COMPAT_LAYER=RUNASINVOKER
start "" "C:\Program Files\MyApp\testapp.exe"
Включить режим RunAsInvoker в манифесте exe файла программы
Как мы уже говорили выше, Windows показывает значок щита UAC у программ, которые требуют повышенных привилегий для запуска. Это требование разработчики задают при разработке в специальной секции программы — манифесте.
Вы можете отредактировать манифест исполняемого exe файла программы и отключить требование запускать программу в привилегированном режиме.
Для редактирования манифеста программы можно использовать бесплатную утилиту Resource Hacker. Откройте исполняемый файл программы в Resource Hacker.
В дереве слева перейдите в раздел Manifest и откройте манифест программы. Обратите внимание на строки:
<requestedPrivileges> <requestedExecutionLevel level="requireAdministrator" uiAccess="false"/> </requestedPrivileges>
Именно благодаря опции requireAdministrator Windows всегда запускает эту программу с правами администратора.
Измените requireAdministrator на asInvoker и сохраните изменения в exe файле.
Обратите внимание, что теперь у иконки программы пропал щит UAC и вы можете запустить ее без запроса прав администратора с привилегиями текущего пользователя.
Если исполняемый файл программы подписан цифровой подпись (сертификатом Code Signing), то после модификации exe файла, он может перестать запускаться или выдавать предупреждение.
В этом случае можно заставить программу использовать внешний файл манифеста. Создайте в каталоге с ехе файлом текстовый файл
app.exe.manifest
(например Autologon.exe.manifest) и скопируйте в него код манифеста из Resource Hacker. Измените requireAdministrator на asInvoker. Сохраните файл.
Чтобы Windows при запуске приложений всегда пробовала использовать внешний файл манифеста, включите специальный параметр реестра:
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide" /v PreferExternalManifest /t REG_DWORD /d 1 /f
Перезагрузите Windows и убедитесь, что программа использует внешний файл манифеста, и запускается без прав администратора.
Запуск программы с сохраненным паролем администратора
Если способы запуска программы через режим RunAsInvoker не работают для вашего устаревшего приложения, можно попробовать запускать такие программы в сессии пользователя с помощью сохраненного пароля администратора. Этот способ мы целенаправленно оставили последним, т.к. это наименее безопасный способ запуска программ без предоставления прав локального администратора пользователю.
Создайте на рабочем столе новый ярлык для запуска программы. Укажите имя компьютера, имя локального администратора и полный путь к исполняемому файлу программы.
Например:
runas /user:wks-1122h2\root /savecred "C:\CorpApp\myapp.exe"
Запустите ярлык под пользователем. При первом запуске откроется командная строка, в которой нужно будет указать пароль администратора.
Утилита RunAs при запуске с параметром /SAVECRED сохраняет имя пользователя и пароль в диспетчере паролей Windows (Credentials Manager).
При следующем запуске ярлыка утилита runas автоматически получит сохраненный пароль из Credentials Manager и использует его для запуска программы от имени указанного локального администратора (пароль не запрашивается повторно при каждом запуске).
Вы можете вывести список пользователей с сохраненными паролями в Credential Manager с помощью команды:
RunDll32.exe keymgr.dll,KRShowKeyMgr
В Windows 11 при запуске такого ярлыка появляется ошибка:
RUNAS ERROR: Unable to run - C:\CorpApp\myapp.exe 740: The requested operation requires elevation.
Чтобы исправить ошибку, отредактируйте команду в свойствах ярлыка. Замените ее на:
C:\Windows\System32\runas /profile /user:WKS-1122H2\root /savecred "cmd.exe /C C:\CorpApp\myapp.exe"
Как мы указывали выше, использование параметра
/savecred
не безопасно, т.к. пользователь, в чьем профиле сохранен чужой пароль может использовать его для запуска любой программы или команды под данными привилегиями, или даже сменить пароль пользователя с правами администратора. Кроме того, сохраненные пароли из Credential Manager можно получить в открытом виде с помощью утилит типа Mimikatz, лучше <запретить использование сохраненных паролей.
В Windows можно заблокировать возможность сохранения паролей в Credential Manager с помощью параметра групповой политики Network access: Do not allow storage of passwords and credentials for network authentication (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options).
Преодолеть недостаток использования сохраненного пароля через runas позволяют несколько сторонних утилит. Например, AdmiLink, RunAsRob, RunAsSpc. Эти программы позволяют сохранить пароль администратора в зашифрованном виде и безопасно запустить программу с правами администратора. Эти утилиты проверяют при запуске путь и контрольную сумму исполняемого файла и не позволят запустить произвольную программу.
Как убрать запуск от имени администратора Windows 10
Несмотря на административные права учетной записи, часто Windows 10 требует прав администратора при запуске программ. Это неудобно, так как откладывает запуск приложений и, как следствие, замедляет работу. Поэтому вопрос о том, как убрать запуск от имени администратора Windows 10, является актуальным для многих пользователей операционной системы.
Нужно обратить внимание, что несмотря на то, что сообщение о запуске ПО от администратора высвечиваться не будет, соответствующие права должна иметь учетная запись, в которой запускается приложение. Это условие обязательное при настройках запуска ПО от администратора.
Способы запуска программ
Для начала нужно разобраться, какими способами запускается приложение. От этого зависит настройка показа сообщения о запросе административных прав. Приложения в ОС Windows 10 можно запускать следующими способами:
- через меню Пуск;
- с помощью ярлыка на рабочем столе;
- через элемент Администрирование в Панели управления.
В каждом из них существуют настройки запуска ПО без запроса административных прав. Смысл настройки в том, чтобы эти права присваивались программе по умолчанию. В этом случае система перестанет их запрашивать.
Как убрать запуск от имени администратора Windows 10 через меню Пуск
Речь идет именно о сообщении на запрос прав администратора. Это наиболее простой и быстрый способ присвоения административных прав программе при запуске. Чтобы выполнить эту операцию через меню Пуск, нужно:
- открыть меню Пуск клавишей Win на клавиатуре или кнопкой, расположенной в левом, нижем углу экрана (базовые настройки Windows 10);
- на клавиатуре набрать название программы;
- на значке найденного соответствия нужно нажать правой клавишей мыши;
- в контекстном меню выбрать Дополнительно-Запуск от имени Администратора.
В этом случае программа запустится от имени администратора, если для такой режим запуска предусмотрен. Этот способ актуален для приложений, находящихся на начальном экране.
Как убрать запуск от имени администратора Windows 10 через ярлык на рабочем столе
Ярлыки различных приложений помещаются на рабочий стол для удобного и быстрого запуска. Через эти элементы можно управлять запуском приложения и показом запроса административных прав. Чтобы запускать программы с соответствующими правами или отключить эту функцию, нужно выполнить несколько действий:
- зайти в Свойства ярлыка (правой клавишей мыши по ярлыку-Свойство);
- открыть вкладку Ярлык-Дополнительно;
- в нижней части окна поставить галочку на флажке Выполнять эту программу от имени Администратора;
- Нажать Применить или ОК.
В этом случае запуск выбранного ПО всегда будет происходит с административными правами.
Как убрать запуск от имени администратора Windows 10 через элемент Администрирование в Панели управления
Часто пользователей не устраивает сам факт показа сообщений о требованиях административных прав. Особенно это касается офисных работников, для которых время – деньги.
Убрать это сообщение можно с помощью элемента Администрирование, расположенного в панели управления Windows 10 и других версий операционной системы. Суть принципа заключается в том, что в ОС есть так называемый супер администратор с привилегированными правами. Она отключена по умолчанию в угоду безопасности. Для включения учетной записи супер администратора выполняют следующие действия:
- зайти в панель управления, где в правом верхнем углу переключить Просмотр на Крупные или Мелкие значки (если включен просмотр Категории);
- перейти по ветке Администрирование-Управление компьютером;
- в открывшемся окне в списке слева выбрать Локальные пользователи и группы;
- зайти в Пользователи, где в списке найти Администратор;
- на пункте Администратор кликнуть правой кнопкой мыши и зайти в Свойства;
- в открывшемся диалоговом окне снять галочку на пункте Отключить учетную запись.
После представленный действий учетная запись привилегированного администратора будет включена. Далее стандартными действиями запуска программ можно запускать приложения от имени супер Администратора.
Контроль учетных записей также можно отключить. В этом случае сообщения о запуске ПО с административными правами не будет запускаться и мешать пользователю. Для этого в командной строке нужно прописать команду useraccountcontrolsettings. Откроется окно контроля учетных записей. В его левой части расположен бегунок, который нужно переключить в самую нижнюю позицию. Это отключить уведомление системы при попытках внесения изменений или установке ПО. Однако в таком случае страдает безопасность ОС Windows 10, что пользователь обязательно должен понимать.
[Конспект админа] Что делать, если программа хочет прав администратора, а вы нет
К сожалению, в работе сисадмина нет-нет да и приходится разрешать пользователям запускать всякий софт с админскими правами. Чаще всего это какие-нибудь странные китайские программы для работы с оборудованием. Но бывают и другие ситуации вроде небезызвестного bnk.exe.
Выдавать пользователю права администратора, чтобы решить проблему быстро и просто, противоречит нормам инфобезопасности. Можно, конечно, дать ему отдельный компьютер и поместить в изолированную сеть, но — это дорого и вообще…
Попробуем разобрать решения, которые позволят и программу запустить, и безопасника с финансистом не обозлить.
Ну, и зачем тебе права?
Программа может запрашивать права администратора условно в двух случаях:
- Когда хочет получить доступ туда, куда «простым смертным» нельзя: например, создавать файлы в системных каталогах.
- Когда программу скомпилировали со специальным флагом «Требовать права администратора».
С первым случаем все понятно: берем в руки замечательную программу Марка Руссиновича Process Monitor, смотрим, что происходит, и куда программа пытается залезть:
Куда это лезет этот 7Zip?
И по результатам исследования выдаем права пользователю на нужный каталог или ветку реестра.
Сложнее, если случай клинический, и так просто выдать права не получится: например, программа требует сильного вмешательства в работу системы вроде установки драйверов. Тогда придется придумывать всякий колхоз, про который речь пойдет в последнем разделе статьи. Пока подробнее освещу второй случай — когда стоит флажок.
Если сильно упростить, то в специальном манифесте программы (к слову, установщики — это тоже программы) могут быть три варианта запуска:
- asInvoker. Программа запускается с теми же правами, что и породивший ее процесс (как правило, это explorer.exe c правами пользователя);
- highestAvailable. Программа попросит максимально доступные пользователю права (у администратора появится окно с запросом повышения UAC, у пользователя — нет);
- requireAdministrator. Программа будет требовать права администратора в любом случае.
Если разработчик твердо решил требовать права администратора, даже если они не нужны, то обойти это можно малой кровью.
Нет, не будет тебе прав
В системе Windows, начиная с Vista, появилась служба UAC, которая помимо прочего отвечает за запросы программ на повышение прав. Не все программы «переваривали» работу с этой службой. Поэтому в системе был доработан механизм совместимости приложений, позволяющий прямо задать программе ее поведение — запрашивать права или нет.
Простейшим вариантом работы с этим механизмом будет использование переменных среды.
Рассмотрим пример с редактором реестра. Действительно, запуская regedit.exe под администратором, мы получаем запрос на повышение прав:
Запрос повышение прав.
Если же мы запустим редактор реестра из консоли, предварительно поменяв значение переменной среды __COMPAT_LAYER на:
То запроса UAC не будет, как и административных прав у приложения:
Бесправный редактор реестра.
Этим можно пользоваться, запуская программы батниками или добавляя контекстное меню через реестр. Подробнее читайте в материале How to Run Program without Admin Privileges and to Bypass UAC Prompt?
С конкретным примером такой неприятной программы можно столкнуться при загрузке классификаторов банков из 1С с сайта РБК по ссылке http://cbrates.rbc.ru/bnk/bnk.exe. Если обновление классификаторов отдается на откуп самим пользователям и нет возможности поменять загрузку на bnk.zip (а современные 1С это поддерживают), то приходится придумывать костыли. Ведь bnk.exe — самораспаковывающийся архив, в котором зачем-то прописано «Требовать права администратора».
Поскольку ярлычками тут обойтись не выйдет, ведь 1С сама скачивает файл и запускает его, то придется применять тяжелую артиллерию — Microsoft Application Compatibility Toolkit.
Документация к ПО, как обычно, доступна на официальном сайте, загрузить можно как часть Windows Assessment and Deployment Kit. Сам процесс решения проблемы несложен.
Необходимо поставить утилиту, запустить Compatibility Administrator и создать Application Fix в новой или имеющейся базе данных:
Создаем исправление приложения.
Имя и издатель значения не имеют. Имеет значение только расположение файла — тут нужно указать реальный проблемный bnk.exe (где он будет лежать на самом деле — не важно).
Далее необходимо в списке исправлений выбрать RunAsInvoker.
Выбираем нужный фикс.
Все остальное оставляем по умолчанию, сохраняем базу данных. Должно получиться примерно так:
Созданный фикс для bnk.exe.
После этого достаточно будет установить базу данных, щелкнув по ней правой кнопкой и выбрав Install. Теперь пользователи смогут сами грузить классификаторы банков.
Все становится хуже, если приложению действительно нужны права админа. Тогда добавление прав на системные объекты и исправления не помогают.
Ну ладно, держи права
Казалось бы, самым очевидным решением для запуска нашего странного ПО выглядит использование встроенной утилиты Runas. Документация доступна на сайте Microsoft.
Ну, посмотрим, что из этого выйдет.
Действительно, RunAs запустит 7zip с правами учетной записи «Администратор», спросит пароль и запомнит его. Потом ярлык с такой строкой запуска будет запускать 7zip под Администратором без вопросов.
)
Есть один существенный недостаток: пароль запоминается на уровне системы, и теперь, используя команду Runas, можно будет запускать абсолютно любую программу. Это мало чем отличается от прямого предоставления админских прав сотрудникам, так что использовать это решение не стоит.
Если мы начали с консольных команд, то перейдем к более высокоуровневым скриптам. Интересное решение было предложено в статье «Планктонная Windows», где упомянутый выше Runas обвязывался js-скриптом и пропускался через обфускатор. У решения есть и очевидный минус — скрипт можно раскодировать.
Чуть более интересным методом в 2к20 являются возможности PowerShell и его работа с паролями. Подробнее можно почитать в материале «Защита и шифрование паролей в скриптах PowerShell».
Если вкратце: в PS работа с паролями производится через специальный тип данных SecureString и объект PSCredential. Например, можно ввести пароль интерактивно:
Затем сохранить пароль в зашифрованном виде в файл:
И теперь использовать этот файл для неинтерактивной работы:
К сожалению, файл этот можно использовать только на том ПК, на котором его создали. Чтобы этого избежать, можно сделать отдельный ключ шифрования. Например так:
Теперь при помощи этого ключа пароль можно зашифровать:
К сожалению, с безопасностью дела обстоят так же печально: утащить пароль не составляет трудностей, если есть доступ к файлу с ключом шифрования и зашифрованным паролем. Да, можно добавить обфускации и скомпилировать скрипт в .exe вместе с нужными файлами. Но нужно понимать, что это — полумеры.
Другим интересным вариантом может быть применение назначенных заданий — если создать назначенное задание от админского аккаунта, пользователю для работы будет достаточно его запуска. К сожалению, для интерактивной работы с приложением это решение не подходит.
На свете существует несколько сторонних решений, призванных решить задачу. Остановлюсь на парочке из них.
Пожалуй, одна из самых известных утилит — это AdmiLink, разработанная Алексеем Курякиным для нужд ядерной физики. Программа и принципы ее работы описаны на официальном сайте. Я, как обычно, позволю себе более краткое описание.
Программа состоит из трех модулей. AdmiLink — это графическое окно, где можно создать ярлык на нужное приложение (в принципе, в ряде случаев достаточно только его).
Основное окно программы.
Помимо непосредственно создания ярлыка (и да, запрос UAC тоже можно подавлять), есть и дополнительные функции вроде калькулятора, терминала и удобных настроек политик безопасности. Со всеми возможностями программы читателю предлагается разобраться самостоятельно.
Второй модуль называется AdmiRun и представляет из себя консольную утилиту. Она умеет запускать приложения от имени администратора, получив в качестве одного из параметров строку, созданную через AdmiLink. В строке шифруется имя пользователя и пароль, при этом участвует и путь к программе.
На первый взгляд все выглядит безопасно, но, к сожалению, код программ закрыт, и насколько можно доверять разработчику — вопрос.
Третий модуль — AdmiLaunch — отвечает за запуск окон в разных режимах, и он используется для запуска AdmiRun, если создавать ярлык через AdmiLink.
В целом, решение проверено годами и поколениями отечественных системных администраторов. Но добавлю и альтернативу из-за рубежа.
RunAsRob — довольно интересное ПО за авторством немецкого разработчика Оливера Хессинга (Oliver Hessing). В отличие от AdmiLink, ПО устанавливается как служба, запускаемая под привилегированной учетной записью (администратора или системы). Как следствие, подготовленный ярлык обращается к службе, которая уже в свою очередь запускает заданное ПО.
Особенность программы в том, что есть возможность авторизовать не только программы, но и папки (включая сетевые). А хранение настроек в реестре позволило добавить шаблоны групповых политик, примерно как мы писали в статье «Погружение в шаблоны и приручение GPO Windows». Благодаря этому при необходимости настройки можно применять прямо из Active Directory.
Основное окно программы.
Программа богато документирована на официальном сайте.
У этого автора есть еще и программа RunAsSpc, позволяющая запускать исполняемые файлы под правами другого пользователя, передавая учетные данные через зашифрованный файл.
Мне остается только добавить, что это ПО бесплатно только для личного использования.
Но учтите, что из программы, запущенной под административными правами, можно натворить бед. Например, запустить привилегированную командную консоль через диалог Файл — Открыть.
Запускаем cmd.exe прямо из редактора реестра.
Немного защититься помогут политики запрета контекстного меню и прочих диспетчеров задач, часть из которых может настроить AdmiLink. Но в любом случае следует быть осторожным.
А вам приходилось городить странные костыли? Предлагаю делиться историями в комментариях.
Запуск от имени администратора не работает.
Работая в Windows, пользователь должен осознавать, что его данные и работоспособность системы постоянно находятся под угрозой. Не важно, используете вы для работы интернет или нет. И одним из средств защиты является работа из-под учётной записи, которая ограничена в правах. Права ограничиваются прежде всего для открываемых документов и программ, которым по умолчанию нередко требуется персональное разрешение. За этим открываемые процессы наткнутся на UAC, а та спросит вас:
Каждому из нас Windows предоставляет возможность напрямую открыть файл/программу с помощью функции быстрого доступа к предоставлению полного права для полнофункционального запуска. С этой настройкой вы знакомы по команде из контекстного меню:
Однако нередки случаи, когда пользователь замечает: нажимай по Запуск от имени администратора, не нажимай — система открывает нужное нам всё с теми же ограничениями. Т.е. запуск от имени администратора просто не работает. Разберёмся в причинах. Некоторые из них мы уже покрывали в статье Утеря прав администратором , так что продолжим далее.
Запуск от имени администратора не работает? Причины такие:
Это наиболее типичные источники проблем. С каждой из них мы успешно боролись на страницах блога, так что за подробностями, если интересны, можете пройти по указующим ссылкам.
Отключен UAC
Если вы пытаетесь открыть программу с правами администратора, по умолчанию выскакивает окно Контроля учётных записей на подтверждение действий. Но, если UAC отключен по вашей инициативе или вследствие неверных действий (в том числе и со стороны другого ПО), с запуском программы могут возникнуть проблемы. Так что следует проверить включён ли UAC — это может помочь в решении вопроса. Чтобы убедиться, задействован ли UAC, делаем следующее:
- зажимаем WIN + R
- в окне Выполнить вводим команду
- проверяем местоположение ползунка настройки UAC. По необходимости меняем положение, выбирая степень защиты. В случае каких-то вопросов обратитесь к статье:
«Битое» контекстное меню
Иногда в работу контекстного меню (точнее, проводника Windows) могут вмешиваться некоторые программы. Которые могут испортить настроение даже в том случае, если их давно уже в системе нет. Если у вас возникли по этому некоторые сомнения, вы можете отремонтировать контекстное меню вручную. Так, все пункт меню, появляющегося после нажатия по ярлыку правой кнопкой мыши, находятся в реестре здесь:
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers
Удалите слева все те пункты, которые принадлежат программам, которых не существует или которые вам не нужны. Если возникли затруднения или вы не уверены в некоторых пунктах, обратитесь за дополнительной информацией к статье
Проверьте членство в группах пользователей Windows
Если кто не знает, Windows ещё во время установки формирует список пользователей и присваивает им всем (существующим и в перспективе) определённый и ограниченный набор прав. Учётная запись с неограниченными (ну… почти) правами скрыта и требует специальной активации в целях безопасности — не путать Администратора (скрыт) с Пользователем с правами Администратора (вы, если устанавливали Windows под себя). Все такие пользователи формируются в группы по правам на проведение некоторых операций в системе. Логика, я думаю, вам уже ясна: кто-то может делать с файлами всё (почти), а кто-то нет. Чтобы проверить членство своей учётки, наберите очередную быструю команду доступа из WIN + R
Откроется окно Учётных записей пользователей, в котором вы должны увидеть своё имя:
Если вы не Администратор, собака могла быть здесь зарыта. Присвойте себе членство, Примените, покиньте консоль, закройте все окна для сохранения информации и согласитесь с «перезаходом» в собственную учётку:
Администратор отключён зловредом
Это он сделал для того, чтобы вы его не перехватили «на лету». Чаще всего это проявляется при попытке запустить антивирусное ПО, установить обновления Windows и т.п. И особенностью такого деяния является тот факт, что потеря прав сохраняется и в том случае, когда вирус или зловред уже удалён. Оптимальным вариантом действий является работа из-под «живых» антивирусных сборок. Далеко бегать не нужно, забирайте:
Впрочем, если есть свои предпочтения, то лишь бы работало.
Ошибки ПО
Иногда Запуск от имени администратора не работает не из-за злонамеренных действий. Какая-то из программ, сидящая в Автозапуске, спускает триггер, из-за чего, в свою очередь, UAC аварийно «захлопывается» без вашего ведома. Обычно эта настройка видна в планировщике задач Windows. Но, также как и в случае с вирусом, остаточные файлы могут нарушить работу UAC и после удаления. Загрузитесь в Безопасном режиме и проверьте. Это легко сделать без всяких специальных кнопок F8 и т.п. Чтобы запустить Windows после перезагрузки в Безопасном режиме, просто выставьте галочку в пункте:
В разных версиях Windows путь к исходной настройке свой, но смысл тот же:
Не забудьте о галочке, иначе система будет грузиться в Режим постоянно.
Напоследок: создайте учётную запись с повышенными привилегиями
Самый простой способ сравнить работоспособность защиты UAC и установленных вами программ. То есть вам нужен обычный стандартный пользователь, но с возможностью запускать и открывать всё подряд с повышенными правами: продублировать свою же учётку. По крайней мере, оттуда вы получите права к основной массе нужной информации хотя бы на период решения проблем. Вот один из способов это сделать:
- запускаем консоль cmd (как я понимаю, с обычными правами: других у вас нет)
- вводим команду в формате:
- проверим, появился ли такой:
- попробуем добавить администратора
- проверим его членство в группах:
Например, создадим нового пользователя с именем Новый:
Также, в статье Как создать суперпользователя Windows? я показываю как заставить себя проявить скрытую учётную запись администратора. Более того, можно провернуть ту же операцию с помощью загрузочного диска или через ремонтную консоль, если из-под обычного сеанса Windows создать нового пользователя не получается. За подробностями обратитесь к статье
Главная » Windows 10 » Как убрать запуск от имени администратора windows 10
Запуск программ от имени Администратора в Windows 10
Различные виды программного обеспечения для их правильной работы или при установке в операционной системе Windows 10 часто требуют права администратора. Чтобы помочь пользователям ПК запускать утилиты с правами админа, мы разберем различные способы их запуска в операционной системе Windows 10.
Как войти в приложения с правами админа с начального экрана
Для примера мы установили две утилиты CCleaner и VLC media player и поставили их на начальный экран. Первая утилита используется для очистки системы, а вторая является довольно популярным видеоплеером. Итак, приступим. Перейдем к начальному экрану и сделаем клик правой кнопкой мыши на приложении CCleaner. В появившемся контекстном меню переходим в «Дополнительно / Запуск от имени администратора».
Таким же образом выглядит запуск VLC media player.
С помощью этого способа можно запустить любое приложение, закрепленное на начальном экране.
Как войти в программу от имени админа через меню «Пуск»
Если перейти в меню «Пуск» на вкладку «Все приложения», мы сможем отыскать наши установленные приложения CCleaner и VLC media player. Принцип их запуска такой же, как в первом примере. Для утилиты CCleaner показан на изображении ниже.
И для утилиты VLC media player на следующем рисунке.
Как видно, второй и первый пример очень похожи. Поэтому используйте тот вариант, который для вас более удобен.
Как войти в приложение от имени админа через ярлык на Рабочем столе
Для запуска приложения CCleaner перейдем к контекстному меню его ярлыка и выберем соответствующий пункт, как показано на изображении ниже.
Для второй программы пример выглядит аналогично.
Если вы хотите, чтобы эти программы запускались с правами админа в автоматическом режиме, то проделайте операции, описанные ниже. Перейдите к свойствам ярлыка на вкладку «Совместимость» и поставьте галочку напротив параметра, отвечающего за запуск от имени администратора, как показано на изображении ниже.
Также в свойствах ярлыка на вкладке «Ярлык» можно перейти к окну, в котором также можно выбрать автоматический запуск с особыми привилегиями, нажав для этого кнопку Дополнительно.
Запуск приложений от имени админа через поиск в Windows 10
С помощью комбинации «Win»+«Q» или с помощью ярлыка возле кнопки «Пуск» запустим окно поиска Windows 10 и введем имя установленного нами приложения, как показано ниже.
Сделаем клик на найденном результате и выберем искомый нами пункт. Таким же образом выглядит работа со второй утилитой.
Как войти в программу от имени админа через консоль
Чтобы запустить программы с повышенными привилегиями, нам нужно запустить саму консоль в режиме админа. В Windows 10 запустить командную строку в этом режиме можно тремя способами.
Первый способ через меню «Пуск».
Второй с помощью поиска Windows 10 по фразе «CMD».
И третий, кликнув на значке пуска правой кнопкой мыши или набрав комбинацию Win + X, выбрав соответствующий пункт.
Выберем один из способов и запустим программу в режиме администратора. Поскольку консоль работает в режиме администратора, то и утилиты она будет запускать в этом же режиме. Например, для запуска CCleaner нужно перейти в директорию, в которой установлена утилита. Для этого наберем такую команду: cd c:\Program Files\CCleaner После этого наберем команду: Ccleaner.exe которая откроет саму утилиту. Последовательно набранные команды для утилиты показаны на изображении ниже.
Для утилиты VLC media player нужно набрать команды: cd C:\Program Files\VideoLAN\VLC vlc.exe
Таким же образом, как показано в примере, можно запустить любую установленную программу.
Вход под учетной записью «Администратор»
Так как в целях безопасности на операционной системе Windows 10 стоят ограничения на главные учетные записи, мы используем дополнительные опции для запуска утилит в режиме с особыми привилегиями. Для того чтобы все возможности учетной записи были раскрыты, нам нужно перейти в консоль под админом и набрать в ней такую команду:
Теперь необходимо перезагрузить компьютер и зайти под новой появившейся записью «Администратор». В данной учетной записи все приложения будут выполняться с повышенными привилегиями.
Это легко проверить. Например, запустим программу «Выполнить» с помощью комбинаций клавиш Win + R и наберем в ней команду «CMD», которую выполним. После выполнения откроется консоль в режиме администратора, это видно по верхней части окна.
Если бы мы открывали консоль из-под обычного админа, то зайти в нее можно только без расширенных прав.
Проделав вышеописанные действия, вы сможете зайти во все утилиты с расширенными привилегиями.
Получаем доступ из-под обычного пользователя
Иногда бывают ситуации, когда нужно выполнить какую-нибудь утилиту с admin правами. Например, ваш компьютер использует сотрудник на работе и в его учетке ограничен доступ к некоторым программам. Чтобы не давать свой пароль, вы можете решить данную задачу удаленно, зайдя на ваш ПК и запустив необходимую утилиту с admin правами, используя ваш пароль.
Рассмотрим работу с утилитой uTorrent, у которой ограничен доступ из-под обычной учетки. Для этого перейдем в контекстное меню ярлыка утилиты uTorrent и удобным для вас способом выполним пункт, отвечающий за admin права.
После этого откроется окно, которое запросит пароль учетной записи админа.
После ввода пароля вы откроете утилиту на обычной учетной записи, и пользователь сможет пользоваться утилитой.
Подводим итог
В этой статье рассмотрены все виды старта программ в режиме администратора. Также рассмотрен пример, при котором учетная запись Windows 10 получает расширенные привилегии для программ, позволяя им работать в режиме администратора без использования дополнительных опций.
Также хочется отметить, что этот материал будет особенно полезен начинающим системным администраторам и опытным пользователям ПК. Надеемся, что наши читатели почерпнут из нашей статьи полезную информацию, которая поможет им решить свою задачу.
Видео по теме
Хорошая реклама:
UstanovkaOS.ru
Как запустить Windows 10 от администратора
При помощи прав администратора можно проводить гораздо больше манипуляций с ОС Windows 10, чем без них. Однако, к сожалению, на многих рабочих компьютерах так просто запускать платформу от имени администратора не получится, так как весь контроль может исходить из серверного компьютера.
Что касается домашних компьютеров, то здесь ситуация может быть достаточно серьезной. Речь идет о том, что по каким-то причинам «учётка» может быть с ограниченными правами, и существует необходимость в восстановлении записи администратора.
1
Получение прав администратора в Windows 10
- Первый способ позволяет перейти в учётную запись администратора посредством командной строки. Для начала необходимо использовать сочетание клавиш «Win+R», после чего ввести в строку «cmd». Теперь необходимо прописать команду «net user администратор /active:yes», которая позволит перейти в администраторскую учётную запись. Главная проблема данного способа состоит в том, что запустить командную строку необходимо от имени администратора, и зачастую это не представляется возможным.
- Также в Windows 10 присутствует некоторая хитрость, которая однозначно позволит расширить права стандартного пользователя. Речь идет об утилите «Локальная политика безопасности». Для того чтобы войти в данную программу, необходимо снова активировать командную строку комбинацией клавиш «Win+R», однако вместо команды «cmd» нужно ввести «secpol.msc». Также в утилиту можно зайти через «Пуск», далее перейти в «Панель управления» и выбрать «Администрирование». В самой программе нужно выбрать пункт «Параметры безопасности», а справа можно будет обнаружить состояние учётной записи. Выбираем «Состояние: Администратор». Включаем эту учётную запись, после чего можно будет войти под ней с максимально возможными правами.
- Кроме того, для получения соответствующих прав можно использовать утилиту под названием «Локальные пользователи и группы». Для её запуска в командной строке нужно воспользоваться командой «lusrmgr.msc». Далее просто разворачиваем раздел «Пользователи» и выбираем ту учётную запись, которая имеет больше всего прав.
Нужно знать, что в некоторых ситуациях учетная запись администратора может быть и вовсе удалена с персонального компьютера. Подобные проблемы происходят крайне часто. К сожалению, вышеуказанными способами исправить ситуацию не получится, так как все данные были утеряны во время удаления учетной записи. Из этой ситуации есть только один выход – это полное восстановление системы. При таком раскладе система вернется в исходное состояние, а важные данные, к сожалению, будут удалены.
В некоторых случаях может помочь загрузочная флешка с Windows 10. Для этого дела нужно загрузить ПК в безопасном режиме, после чего выбрать «Устранение неполадок». Далее система запросит восстановление системы с носителя. Операционная система будет обновлена, однако основные файлы, присутствующие на компьютере останутся на месте.
2
Запуск программ Windows 10 от администратора
Зачастую права администратора на ПК нужны именно для запуска отдельных приложений. В данном случае речь идет об использовании данного функционала на основе «учётки» с ограниченными правами.
- Чаще всего для запуска программ от имени администратора необходимо кликнуть правой кнопкой мыши по ярлыку и выбрать «Запуск от имени администратора». Далее, если пользователь в данный момент находится не под администраторской учетной записью, система предложит ввести данные главного пользователя.
- Также есть еще и другой способ запуска программ от имени главного юзера ПК. Для этого нужно зайти в свойства программы (кликнут правой кнопкой мыши по ярлыку), а затем перейти в раздел «Совместимость». Теперь нам нужно обратить внимание на пункт «Уровень привилегий». Ставим галочку возле «Выполнять программу от имени администратора», после чего можно перейти в изменение параметров и настроить параметры запуска по собственному вкусу. Теперь программа будет автоматически запускаться с использованием основных прав системы, однако, здесь также потребуются данные от «учётки» администратора.
SovetClub.ru
Как настроить запуск программ от имени администратора в Windows 10, 7 и 8. Это просто
Настройки Windows
Привет, друзья! Если вы помните, то в прошлой статье мы рассказывали об одной интересной программе, для которой был необходим запуск от имени администратора в Windows 10. Сейчас немножко расширим знания по этой теме.
А все дело в том, что есть еще один классный способ сделать такую настройку раз и навсегда. То есть после ее применения любое приложение будет запускаться с администраторскими правами в автоматическом режиме.
Содержание статьи:
- Запуск от имени администратора в Windows 10 и 7. Способ №1
- Запуск от имени администратора в Windows 10 и 7. Способ №2
Итак, уважаемые, давайте сразу разберемся, зачем вообще может быть нужен запуск с такими привилегиями. Ответ будет очень простым: если какая-либо программа этого требует, то без них она даже не запустится.
Поэтому предлагаю переходить к делу. Самый простой способ наделить приложение правами админа выглядит следующим образом. Щелкаем правой кнопкой мыши по ярлыку и в меню выбираем соответствующий пункт:
Но в такой схеме есть один существенный минус. Ведь нужно будет производить данную комбинацию каждый раз при запуске. Но есть другой вариант, с помощью которого можно этот недочет поправить.
Делаем все за две минуты. Снова жмем правой кнопкой на значок ярлыка нужной программы и выбираем раздел «Свойства»:
Затем идем на вкладку «Совместимость» и ставим галку на пункте «Выполнять эту программу от имени администратора»:
Жмем «ОК» для принятия сделанных изменений и все на этом. Дело сделано. Теперь вы знаете, как правильно и быстро сделать запуск от имени администратора в Windows 10. Хотя в Win 7 и 8 все настраивается по аналогии.
На этом все пока и до новых встреч. А в завершение этой маленькой публикации, предлагаю посмотреть видео про очень больших и сильных людей.
https://youtu.be/QYi_XNv7Yy8
С уважением, Комаровский Виталик
Обновлено: 02.08.2016 — 23:56
pronetblog.by
Смотрите также
Приведи ссылку, какие советы на сайте ты называешь фигнёй! Подискутируем.
А по заданному тобой вопросу могу сказать следующее. Во всех версиях систкмы Windows (в том числе и десятой) в системе присутствует учётная запись суперадминистратора. Для безопасной работы пользователя она отключена:
Чтобы запустить программу от имени суперадминистратора совсем не обязательно активировать эту учётную запись, просто в случае необходимости кликаешь по файлу правой кнопкой мыши и выбираешь «Запуск от имени администратора». Если её так надо запускать постоянно, то в свойствах файла активируешь соответствующий чекбокс:
И ещё можно сделать одну вещь, чтобы система меньше надоедала тебе — отключить контроль учётных записей (хотя это и снизит безопасность системы). Для этого открываешь командную строку и вводишь команду useraccountcontrolsettings . Открываеся окно, в котором ты можешь отключить эти запросы системы:
