Как проверить права администратора на windows 7

Получение прав администратора в Windows 7

Очень часто встречается ситуация, когда у некоторых пользователей, работающих под управлением операционных систем Windows 7 отсутствуют права на удаление файла или папок с файлами (замок на иконке с папкой).

При попытке осуществления некоторых действий система выводит ошибку о недостаточных правах и посылает за обращением к системному администратору.

Назначение прав администратора в Windows 7

Не каждое программное обеспечение в Windows 7 можно инсталлировать со стандартными правами. Временами необходимо обладание максимальными привилегиями в системе. Как еще говорят, правами суперпользователя.

Но по «дефолту» эта «учетка» заблокирована в целях повышения безопасности использования операционной системы обычными пользователями для ограничения их вмешательств в процессы системы, а так же для предотвращения проникновения вредоносного кода.

Но есть возможность обхода этих правил и выполнения необходимых действий в системе разблокировав эту учетную запись на требуемое время. Это так же помогает при решении проблем с доступом к некоторым папкам с файлами в системе Windows 7, с запуском программ если такие имеют место.

Завладев привилегиями администратора в Windows 7, Вам так же станут доступны следующие действия:

• внесение корректировок в системных каталогах (установка или удаление программного обеспечения, драйвера устройства или компонента ActiveX;
• корректировка меню «Пуск» (для любого пользователя);
• загрузка и установка обновления Windows 7;
• подналадка брандмауэра Windows 7;
• вмешательство в контроль учетных записей пользователей;
• настройка родительского запрета;
• настройка планировщика заданий;
• восстановление системных файлов Windows 7 из резервных копий;
• все возможные манипуляции в каталоге любого пользователя;
• редактирование реестра.

Как активировать права администратора?

Если на рабочей станции у Вас применяется меню «Пуск» классического вида, заходите в «Панель управления» и кликните по иконке «Администрирования». В противном случае значок «Администрирования» будет располагаться при выборе категории с мелкими значками в «Панели управления».

Кликните два раза иконку «Управления компьютером» и зайдите в оснастку «Локальных пользователей и групп». Далее в списке имен (правая часть консоли управления) зайдите в папку «Пользователи». Кликом правой клавиши мышки по учетной записи «Администратор» в контекстном меню потребуется выбрать «Свойства». Отменяете «чекбокс» напротив пункта «Отключения учетной записи».

Далее в поле «Полное имя» придумайте подпись, которая не совпадает с именем владельца компьютера (оно было задано при установке «операционки» Windows 7). Давите кнопку «Применить» и ОК. После этого перезагрузите компьютер и можете заходить в систему под разблокированной учетной записью администратора с соответствующими ей правами.

Консоль управления можно открывать и другим способом. Клик правой клавишей мыши по иконке «Моего компьютера» вызывает выпадающее меню. В нем надо выбрать команду «Управление». В окне консоли (в левой его части) щелкните по оснастке «Локальных пользователей и групп».

Вы всегда можете отключить функцию «Контроля учетных записей» (UAC). Для этого в «Панели управления» откройте пункт «Учетных записей пользователей». Выделите пункт «Изменения параметров контроля» и передвиньте бегунок в нижнее состояние. Система самостоятельно будет опознавать каждого пользователя как администратора компьютера.

Имеется и еще один простой способ. В окошке для запуска программ, либо при помощи сочетания клавиш win+r, вбейте secpol.msc и запустите команду. Отметьте «Запускать с правами администратора». Затем откройте узлы «Локальных политик» и «Параметров безопасности».

В списке политик выберите «Учетные записи» и посмотрите состояние записи «Администратор». Если она отключена выберите «Свойства» и переключите ее состояние.

Если Вы устанавливали на свой компьютер версию операционки Windows 7 Домашняя Премиум или Windows 7 Домашняя Базовая, то в меню «Пуск» нажмите «Выполнить», затем введите cmd. Щелчком правой кнопки мышки выберите «Запустить от имени администратора».

Введите следующую команду:

net user Администратор /active:yes

Подтвердите ввод кнопкой Enter и перезагружайте компьютер. Вход в систему делайте под администратором.

Дополнительный способ наделения пользователя правами администратора в Windows 7

Кроме всего вышесказанного, можно также использовать локальное применение прав администратора. Что это может означать? Предположим, у Вас инсталлирована программа и для ее корректной работы требуются права администратора.

Здесь возможно использовать первый способ, включив соответствующую «учетку», а можно изменить настройку, в соответствии с которой необходимое программное обеспечение станет запускаться и работать от «учетки» администратора (его права будут распространены и применяться только к программе, выбранной пользователем). Этот способ наиболее безопасен, ведь Вам не потребуется постоянное включение и отключение прав админа. Чтобы запускать программное обеспечение в этом режиме требуется навести мышку на ярлык и, нажав правую кнопку, выбрать «Запуск от учетной записи администратора».

Как получить права администратора в Windows 7

Для полноценной работы с OS Windows и запуска некоторых приложений требуются права администратора.

После получения расширенного доступа пользователь может менять настройки конфигурации сторонних и системных приложений или устанавливать новые правила безопасности (включать и отключать брандмауэр, удаленный доступ и т. д.). Далее мы расскажем, как получить права администратора в Windows 10 (на 32-Bit и 64-Bit версии).

Через командную строку

Запустите системную утилиту «Командная строка» через «Пуск». Она находится в меню «Служебные программы». Либо воспользуйтесь поиском по слову. В зависимости от сборки ОС сделать это можно нажав по значку лупы.

Быстрый доступ к командной строке можно получить с помощью утилиты «Выполнить». Вызвать ее получится одновременным нажатием клавиш Win (на ней нарисован флажок Windows) + R на клавиатуре. Далее просто впишите «cmd» и нажмите «Ок».

Откроется командная строка. Здесь вбейте «net user администратор active:yes» (как на скриншоте) и нажмите Enter на клавиатуре. Так вы сможете сделать себя администратором — пользователем с повышенными привилегиями.

Если на компьютере несколько учетных записей и вы заходите с гостя, то сперва придется переключиться на главную и авторизироваться под администратором (не путать с правами! потому что они могут быть отключены даже для главной учетной записи).

Посмотреть список пользователей можно введя «net user». Они отобразятся в виде «Имя — статус» (администратор или гость). Чтобы посмотреть список разрешений пользователя введите «net user Имя учетной записи».

Если требуется запуск командной строки с правами администратора или вы все равно не можете получить доступ к папке, то попробуйте воспользоваться другими способами, описанным ниже.

Через реестр

Получить доступ к редактированию некоторых приложений через командную строку не всегда удается. Так как стать администратором — не значит выбрать главного пользователя (вместо учетной записи «Гость»), то приходится вносить изменения вручную, через реестр.

Способ считается наиболее эффективным, но будьте предельно осторожны при выполнении каждого шага этой инструкции.

Неверно установленные значения или удаление некоторых параметров могут повлечь за собой серьезные сбои в работе компьютера.

Поэтому перед тем как удалить от имени администратора какой-то файл, убедитесь, что он не является системным.

Инструкция для получения прав:

1. Запустите на ПК редактор реестра. Сделать это можно через системный инструмент «Выполнить» (или через пуск или горячими клавишами Win + R).

1. Вбейте команду «regedit» и нажмите Enter на клавиатуре. Откроется окошко редактора реестра. Для удобной работы программа разбита на две части. В левой части отображаются папки, в правой — параметры реестра. Их можно редактировать и удалять. Если нужного параметра нет, то просто создаем его.
2. В левой части экрана найдите и выберите папку «HKEY_LOCAL_MACHINE» (локальные параметры). Появится несколько подгрупп – кликните по «Software» (программное обеспечение).

1. Откроется список доступных для редактирования приложений. Найдите здесь папку «Microsoft» и в ней выберите «Windows».

1. Появится еще несколько дополнительных директорий. Выберите самую первую. Она носит название «Current version» (текущая версия). Нажмите на небольшой треугольник, чтобы открыть список дополнительных папок. После этого перейдите в «Polices» (политики).

1. Чтобы сделать учетную запись администратором, перейдите в папку «System».

1. В правой части экрана найдите параметр «FilterAdministratorToken». Если такого нет, то просто создайте его (для этого кликните правой кнопкой мыши и нажмите «Создать строковый параметр»). Для него установите значение «1».

1. Аналогичные действия выполните для параметра «EnableLUA».

1. Найдите и выберите «ConsentPromptBehaviorAdmin» и убедитесь, что здесь стоит «0». Если тут «1», то параметр придется сменить.

После этого закройте окно для редактирования реестра. Помните, что поменять значения на исходные и вернуть ограниченный доступ пользователю вы можете в любое время.

Если при попытке включить программу с правами администратора система пишет, что клиент не обладает требуемыми правами, то перезагрузите компьютер, чтобы изменения вступили в силу. После этого вы получите полные возможности для работы с Windows, и система больше не будет уведомлять, что для использования программы sfc необходимы права администратора.

Через редактор локальных политик

Так как обладать правами администратора может не только главный пользователь, но и гость, то чтобы получить полный доступ, следуйте инструкции:

1. Запустите приложение «Выполнить» на своем PC нажатием комбинации клавиш Win и R. В пустом поле введите «secpol.msc» и нажмите «Ок».

1. Либо откройте «Пуск» — «Панель управления».

1. Здесь найдите пункт «Администрирование» (для удобства рекомендуем установить отображение значков в виде мелких или крупных, а не «Категории») и выберите «Локальная политика безопасности».

1. Откроется редактор локальной политики безопасности (не путать с групповым!). Он представляет собой небольшое окошко, разделенное на две части. В левой части экрана выберите самый первый пункт «Параметры безопасности» (открывается по умолчанию).

1. После этого, в правой части появится список локальных политик (их можно отсортировать по имени или описанию). Выберите пункт «Локальные политики» (либо откройте это меню сразу, выбрав соответствующий раздел в левой части экрана).

1. Кликните правой кнопкой мыши по папке «Политики безопасности». Откроется список доступных для редактирования конфигураций.

1. Пролистайте его до самого низа (для удобства кликните по строчке «Имя», чтобы отфильтровать по алфавиту) и найдите здесь политику «Состояние учетной записи администратор». Нажмите ее. Откроется небольшое окошко, где в первой вкладке отметьте параметр «Включен».

Нажмите «Применить», чтобы сохранить внесенные изменения. Чтобы они вступили в силу, придется перезагрузить компьютер или ноутбук. При первом запуске система определит вас как администратора.

Итоги и комментарии

Источник: https://os-helper.ru/windows-10/kak-poluchit-prava-administratora.html

Лаборатория информационной безопасности

Приветствую, уважаемые читатели.

Сегодня я бы хотел поговорить с Вами о простой — в некотором роде даже банальной, — но очень насущной проблеме многих российских граждан — о получении прав локального администратора в windows-системах.

Они, как известно, бывают страшно необходимы простому представителям пролетариата на их рабочих местах для исполнения самых разнообразных желаний.

Останавливаться на преимуществах, которые предоставляют админские права, я не буду: все, кто сталкивается с компьютером на работе, хорошо это знает. А остановлюсь я на другом…

В частности, на том, как же получить права локального администратора, имея изначально пользователя с ограниченными привиллегиями.

В числе всего прочего будет обсуждаться вопрос сброса паролей пользователей Мы рассмотрим несколько наиболее удобных и простых подхода, которые вполне неплохо работают во всех системах от Win XP до Win 10.

Способ №1 (брутальный).

Его суть заключается в загрузке компьютера с некоего внешнего носителя — в простонародье просто LiveCD. Как же это сделать? 

Шаг 1. Записываем LiveCD.

LiveCD — это CD/DVD-диск, флешка (наиболее удобно) или другой USB-накопитель, на котором установлена сильно урезанная версия нашей операционной системы, т.е. WIn 7/8. Сделать такой диск несложно. Просто скачиваем сборку WIndows PE или же ERD Commander.

Первое — жто урезанная версия WIn 7 (PE — pre-installation evironment) с широким функционалом  по восстановлению уже неработающей системы (в случае жуткой вирусни, сбоях на низком уровне или же сильной забывчивости хозяина админских учёток :)).

О том, как создать загрузочную флешку, можно почитать, к примеру, в этой статье. 

Шаг 2. Загружаемся с LiveCD.

Итак, флешка создана. Теперь загружаемся с неё. Для этого нам может понадобиться войти в параметры BIOS и поменять там порядок загрузки накопителей.

Разумеется, вначале надо выключить компьютер, потом воткнуть флешку, после чего включить и войти в BIOS. Очень повезёт, если при входе у Вас не спросят пароль.

Если спросят, дела плохи: это значит, что Ваш работодатель не такой дурак, как Вы думали.

Но спешу Вас утешить: в 99% случаев никакого пароля на BIOS-е не стоит, и Вы спокойно поставите Вашу флешку первой в списке BOOT-загрузки. А если повезёт, она там и так будет стоять первой. Далее просто сохраняем параметры, перегружаемся и наблюдаем процесс загрузки WIndows PE.

Шаг 3. Модифицируем реестр снаружи.

Итак, загрузились с внешнего носителя и видим примерно такое окно.

Окно может быть и другим: простой рабочий стол и обычная кнопка «Пуск». Это зависит от Вашей конкретной сборки с Windows PE. Кстати, есть ещё Windows RE (Recovery environment). Она тоже подойдёт для наших целей.

Важно лишь, чтобы в ней была возможность запустить командрую строку (cmd) и возможность работы с внешним реестром. А эти две фичи есть практически в любой сборке win PE / RE / ERD Commander.

Итак, увидели стартовое окно (никаких паролей тут, к счастью, у нас не спрашивают). Далее, нажимаем Command prompt (если окно типа того, что на рисунке) или же комбинацию Win+R и вводим cmd. В появившейся консоли вводим regedit.

Жмём Enter и получаем окно реестра. Теперь заходим в HKEY_LOCAL_MACHINE (далее — HKLM) и переходим в Файл => Загрузить куст.

Далее в открывшемся диалоговом окне ищем диск с нашей истинной системой (в которой хотим обрести права локального админа) и ищем файл :\Windows\System32\config\SYSTEM. Жмём «Открыть» и вводим любое название куста. К примеру, test.

Как проверить права администратора на windows 7?

» Компьютеры »

Вопрос знатокам: РЕШИЛ ЗАПУСТИТЬ CFS SCANNOW НО ТРЕБУЕТ ПРАВА АДМИНА ( ЗАПИСЬ ОДНА, В ПРОФИЛЕ НАПИСАНО ЧТО Я АДМИН ) как решить такую вот проблему?

С уважением, FoxNIX NIX

Лучшие ответы

это просто …пкм по файлу ( папке) свойства безопасность — «твоя учетка» — полный доступ — .если не дают дополнительно — владелец — ставишь » твоя учетка» и сначала …и полный доступ в 7 Администратор — пустой звук …

можно гостю дать полный доступ — а Админу — полный запрет …

ты не админ а пользователь, надо включить учетку администратора….

правой кнопкой по проге и запуск от имени админа

Правой мышью — запустить от имени администратора (командную сторку) и впиши sfc /scannow

Во время установки Windows 7 автоматически создается аккаунт «администратор» , который позже автоматически отключается.

В результате созданный аккаунт пользователя хоть и обладает по-умолчанию привилегиями администратора, но при работе регулярно сталкивается с предупреждениями от UAC (контроль учетных записей) .

Обойти это ограничение в полной мере (а не только искуственно ограничить выдачу напоминаний) , поможет активация аккуанта администратора и дальнейшая работа под этим аккуантом.

Для активации аккаунта, следует предпринять несколько простых действий: Идите в «Пуск» -> «Стандартные» -> «Командная строка» и кликните правой кнопкой мыши на этом пункте. Выберите «Запуск от имени Администратора» .

В открывшемся окне введите команду «net user администратор /active:yes«.

Вы активировали аккаунт Администратора. Теперь необходимо задать пароль (и желательно, если это будет «сильный» пароль, который невозможно отгадать и тяжело подобрать) . Для этого выполните следующие действия: В этой же строке наберите «Net user администратор «, где вместо «» задайте новый пароль пользователя «Администратор» .

Закройте окно и перезагрузите компьютер.

После перезагрузки у вас будет возможность зайти в систему используя имя пользователя «Администратор» и заданный вами ранее пароль.

Что бы отключить аккаунт, проделайте аналогичные действия, начиная с первого пункта, но в п. 3 задайте команду «net user администратор /active:no«.

Есть так же альтернативная возможность достижения аналогичного результата:

-> Пуск -> Выполнить-> введите «secpol.msc» -> Локальные политики -> Параметры безопасности -> Учетные записи: состояние учетной записи «Администратор» -> выберите нужное вам значение (Включен/Отключен) -> перезагрузите компьютер.

Нажимаем по файлу левой кнопкой мышки, в появившемся окне нажимаем вторую строчку запуск от имени Администратора

-ответ

Это видео поможет разобраться

Ответы знатоков

Пуск — Все программы — Стандартные — Выполнить далее вводите в появившемся окошке control userpasswords2 — ОК — вкладка Дополнительно, в ней кнопка Дополнительно — в открывшемся окне открываете папку Пользователи — Правой кнопкой мышки по пользователю Администратор — Свойства — в открывшемся диалоге снять галочки Отключить учетныю запись и Запретить смену пароля пользователем — ОК — закрываете окошко с пользователями и нажимаете ОК в первом окошке (где была вкладка Дополнительно) далее Пуск — Стрелочка справа от пункта завершение работы — Сменить пользователя, на экране появмится две или более учетных записи, Вам нужно в ту, которая Администратор, загружаетесь и вы полноправный адиминистратор Windows7

там уведомление всегда выскакивает. Ну знаешь такое где говорится мол — это Вы запускаете эту программу? и кнопки ОК и ОТМЕНА. Чуть ниже есть надпись синими буквами, мол изменить появление этих уведомлений. Заходишь туда и бегунок опускаешь вниз. Все готово

скорее всего комп запоролен, надо перезагрузиться и войти с паролем, у меня так убиралась на 7ке эта проблема, когда я только переустанавливал всю систему.. .

Как задать полный доступ к файлу или папке?

26-04-2010, 17:46 | автор: master | Настройка | 4516 1) Скопируйте код в любой текстовый редактор (например, Блокнот) . 2) Нажмите CTRL+S и сохраните файл с любым именем и расширением .reg 3) Если вы выбираете тип файла: Текстовые файлы, то имя файла в кавычки брать обязательно. (Например: «demo.reg»)

4) Если вы выбираете тип файла: Все файлы, то имя файла в кавычки брать не надо.

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\*\shell\runas] @=»Стать владельцем и задать полный доступ к объекту»

«NoWorkingDirectory»=»»

[HKEY_CLASSES_ROOT\*\shell\runas\command] @=»cmd.exe /c takeown /f \»%1\» && icacls \»%1\» /grant администраторы: F»

«IsolatedCommand»=»cmd.exe /c takeown /f \»%1\» && icacls \»%1\» /grant администраторы: F»

[HKEY_CLASSES_ROOT\Directory\shell\runas] @=»Стать владельцем и задать полный доступ к объекту»

«NoWorkingDirectory»=»»

[HKEY_CLASSES_ROOT\Directory\shell\runas\command] @=»cmd.exe /c takeown /f \»%1\» /r /d y && icacls \»%1\» /grant администраторы: F /t»

«IsolatedCommand»=»cmd.exe /c takeown /f \»%1\» /r /d y && icacls \»%1\» /grant администраторы: F /t»

После чего примените файл (двойной клик по файлу и согласиться с изменениями в реестре) .
Витоге Вы получите пункт в контекстном меню файлов и папок «Стать владельцем и задать полный доступ к объекту», выбрав который Вы избавите себя от лишних телодвижений

Все не сложно, но если не получится пиши, вышлю reg файл готовый

пкм по файлу или папке свойства безопасность полный доступ — не если не не даст дополнительно владелец делай свою учетку и делай полный доступ .

не забудь ок нажимать …

Для программного метода быстрого и полного получения доступа к файлам можно использовать специальную утилиту, под названием TakeOwnershipEx.

Программа поможет получить полные права за несколько кликов мышью, и еще быстрее вернуть все в исходное состояние. Такой вариант будет идеальным для новичков и других пользователей желающих сэкономить время.

Перед первым запуском TakeOwnershipEx может запросить установку пакета .NET Framework 3.5, соглашаемся с этим требованием и ждем окончания загрузки:

Павлухин Андрей, и у меня нифига не меняется, я и так Администратор, но удалять защищённые файлы и папки я всё ещё не могу!

1. Набрать в командной строке: net user Administrator /active:yes (для английской версии ОС) или net user Администратор /active:yes (для русской) . 2. Правой кнопкой мыши на «Компьютер» – «Управление» – «Локальные пользователи и группы» – «Пользователи» – правой кнопкой мыши на аккаунте «Администратор» – «Свойства» – снять галочку «Отключить

учетную запись» .

Удачи!

Пуск_панель управления_учетные записи пользователей выбераеш свою учетную запись жмеш изменение типа учетной записи там выбераеш администратор нажимаеш ок и все

нажимаешь правой кнопкой мыши, там свойства -> безопасность там выбираешь кому надо права дать и щёлкаешь изменить. ставишь галочки где тебе надо и всё)

если файл-приложение, то щёлкни правой кнопкой мыши и выбери запуск от имени администратора

Набрать в командной строке: net user Администратор /active:yes Правой кнопкой мыши на «Компьютер» – «Управление» – «Локальные пользователи и группы» – «Пользователи» – правой кнопкой мыши на аккаунте «Администратор» – «Свойства» – снять галочку «Отключить учетную запись».

[Конспект админа] Что делать, если программа хочет прав администратора, а вы нет

(с) Вася Ложкин.

К сожалению, в работе сисадмина нет-нет да и приходится разрешать пользователям запускать всякий софт с админскими правами. Чаще всего это какие-нибудь странные китайские программы для работы с оборудованием. Но бывают и другие ситуации вроде небезызвестного bnk.exe.

Выдавать пользователю права администратора, чтобы решить проблему быстро и просто, противоречит нормам инфобезопасности. Можно, конечно, дать ему отдельный компьютер и поместить в изолированную сеть, но — это дорого и вообще…

Попробуем разобрать решения, которые позволят и программу запустить, и безопасника с финансистом не обозлить.

Ну, и зачем тебе права?

Программа может запрашивать права администратора условно в двух случаях:

1. Когда хочет получить доступ туда, куда «простым смертным» нельзя: например, создавать файлы в системных каталогах.
2. Когда программу скомпилировали со специальным флагом «Требовать права администратора».

С первым случаем все понятно: берем в руки замечательную программу Марка Руссиновича Process Monitor, смотрим, что происходит, и куда программа пытается залезть:

Куда это лезет этот 7Zip?

И по результатам исследования выдаем права пользователю на нужный каталог или ветку реестра.

Сложнее, если случай клинический, и так просто выдать права не получится: например, программа требует сильного вмешательства в работу системы вроде установки драйверов. Тогда придется придумывать всякий колхоз, про который речь пойдет в последнем разделе статьи. Пока подробнее освещу второй случай — когда стоит флажок.

Если сильно упростить, то в специальном манифесте программы (к слову, установщики — это тоже программы) могут быть три варианта запуска:

• asInvoker. Программа запускается с теми же правами, что и породивший ее процесс (как правило, это explorer.exe c правами пользователя);
• highestAvailable. Программа попросит максимально доступные пользователю права (у администратора появится окно с запросом повышения UAC, у пользователя — нет);
• requireAdministrator. Программа будет требовать права администратора в любом случае.

Если разработчик твердо решил требовать права администратора, даже если они не нужны, то обойти это можно малой кровью.

Нет, не будет тебе прав

В системе Windows, начиная с Vista, появилась служба UAC, которая помимо прочего отвечает за запросы программ на повышение прав. Не все программы «переваривали» работу с этой службой. Поэтому в системе был доработан механизм совместимости приложений, позволяющий прямо задать программе ее поведение — запрашивать права или нет.

Простейшим вариантом работы с этим механизмом будет использование переменных среды.

Рассмотрим пример с редактором реестра. Действительно, запуская regedit.exe под администратором, мы получаем запрос на повышение прав:

Запрос повышение прав.

Если же мы запустим редактор реестра из консоли, предварительно поменяв значение переменной среды __COMPAT_LAYER на:

set __COMPAT_LAYER=RUNASINVOKER

То запроса UAC не будет, как и административных прав у приложения:

Бесправный редактор реестра.

Этим можно пользоваться, запуская программы батниками или добавляя контекстное меню через реестр. Подробнее читайте в материале How to Run Program without Admin Privileges and to Bypass UAC Prompt?

С конкретным примером такой неприятной программы можно столкнуться при загрузке классификаторов банков из 1С с сайта РБК по ссылке http://cbrates.rbc.ru/bnk/bnk.exe.

Если обновление классификаторов отдается на откуп самим пользователям и нет возможности поменять загрузку на bnk.zip (а современные 1С это поддерживают), то приходится придумывать костыли. Ведь bnk.

exe — самораспаковывающийся архив, в котором зачем-то прописано «Требовать права администратора».

Поскольку ярлычками тут обойтись не выйдет, ведь 1С сама скачивает файл и запускает его, то придется применять тяжелую артиллерию — Microsoft Application Compatibility Toolkit.

Документация к ПО, как обычно, доступна на официальном сайте, загрузить можно как часть Windows Assessment and Deployment Kit. Сам процесс решения проблемы несложен.

Необходимо поставить утилиту, запустить Compatibility Administrator и создать Application Fix в новой или имеющейся базе данных:

Создаем исправление приложения.

Имя и издатель значения не имеют. Имеет значение только расположение файла — тут нужно указать реальный проблемный bnk.exe (где он будет лежать на самом деле — не важно).

Далее необходимо в списке исправлений выбрать RunAsInvoker.

Выбираем нужный фикс.

Все остальное оставляем по умолчанию, сохраняем базу данных. Должно получиться примерно так:

Созданный фикс для bnk.exe.

После этого достаточно будет установить базу данных, щелкнув по ней правой кнопкой и выбрав Install. Теперь пользователи смогут сами грузить классификаторы банков.

Все становится хуже, если приложению действительно нужны права админа. Тогда добавление прав на системные объекты и исправления не помогают.

Ну ладно, держи права

Казалось бы, самым очевидным решением для запуска нашего странного ПО выглядит использование встроенной утилиты Runas. Документация доступна на сайте Microsoft.

Ну, посмотрим, что из этого выйдет.

Команда:

runas /savecred /user:Администратор «C:\Program Files\7-Zip\7zFM.exe»

Действительно, RunAs запустит 7zip с правами учетной записи «Администратор», спросит пароль и запомнит его. Потом ярлык с такой строкой запуска будет запускать 7zip под Администратором без вопросов.

)

Вводим пароль.

Есть один существенный недостаток: пароль запоминается на уровне системы, и теперь, используя команду Runas, можно будет запускать абсолютно любую программу. Это мало чем отличается от прямого предоставления админских прав сотрудникам, так что использовать это решение не стоит.

Зато runas может быть полезен, когда сотрудник знает пароль администратора, но работает под ограниченной учетной записью (по идее так должен делать каждый системный администратор).Если мы начали с консольных команд, то перейдем к более высокоуровневым скриптам. Интересное решение было предложено в статье «Планктонная Windows», где упомянутый выше Runas обвязывался js-скриптом и пропускался через обфускатор. У решения есть и очевидный минус — скрипт можно раскодировать.

Чуть более интересным методом в 2к20 являются возможности PowerShell и его работа с паролями. Подробнее можно почитать в материале «Защита и шифрование паролей в скриптах PowerShell».

Если вкратце: в PS работа с паролями производится через специальный тип данных SecureString и объект PSCredential. Например, можно ввести пароль интерактивно:

$Cred = Get-Credential

Затем сохранить пароль в зашифрованном виде в файл:

$Cred.Password | ConvertFrom-SecureString | Set-Content c:\pass.txt

И теперь использовать этот файл для неинтерактивной работы:

$username = «Domain\Администратор» $pass = Get-Content C:\pass.txt | ConvertTo-SecureString $creds = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $username, $pass

К сожалению, файл этот можно использовать только на том ПК, на котором его создали. Чтобы этого избежать, можно сделать отдельный ключ шифрования. Например так:

$AESKey = New-Object Byte[] 32 [Security.Cryptography.RNGCryptoServiceProvider]::Create().GetBytes($AESKey) $AESKey | out-file C:\password_aes.key

Теперь при помощи этого ключа пароль можно зашифровать:

$Cred.Password| ConvertFrom-SecureString -Key (get-content C:\password_aes.key )| Set-Content C:\pass.txt

И расшифровать:

$pass = Get-Content C:\pass.txt | ConvertTo-SecureString -Key (get-content C:\password_aes.key)

К сожалению, с безопасностью дела обстоят так же печально: утащить пароль не составляет трудностей, если есть доступ к файлу с ключом шифрования и зашифрованным паролем. Да, можно добавить обфускации и скомпилировать скрипт в .exe вместе с нужными файлами. Но нужно понимать, что это — полумеры.

В свое время я использовал для решения подобных задач свой любимый AutoIt, где компилировал скрипт с командой RunAs и радовался… До тех пор, пока не узнал, что AutoIt (особенно старых версий) декомпилируется на раз-два.

Другим интересным вариантом может быть применение назначенных заданий — если создать назначенное задание от админского аккаунта, пользователю для работы будет достаточно его запуска. К сожалению, для интерактивной работы с приложением это решение не подходит.

На свете существует несколько сторонних решений, призванных решить задачу. Остановлюсь на парочке из них.

Пожалуй, одна из самых известных утилит — это AdmiLink, разработанная Алексеем Курякиным для нужд ядерной физики. Программа и принципы ее работы описаны на официальном сайте. Я, как обычно, позволю себе более краткое описание.

Программа состоит из трех модулей. AdmiLink — это графическое окно, где можно создать ярлык на нужное приложение (в принципе, в ряде случаев достаточно только его).

Основное окно программы.

Помимо непосредственно создания ярлыка (и да, запрос UAC тоже можно подавлять), есть и дополнительные функции вроде калькулятора, терминала и удобных настроек политик безопасности. Со всеми возможностями программы читателю предлагается разобраться самостоятельно.

Второй модуль называется AdmiRun и представляет из себя консольную утилиту. Она умеет запускать приложения от имени администратора, получив в качестве одного из параметров строку, созданную через AdmiLink. В строке шифруется имя пользователя и пароль, при этом участвует и путь к программе.

На первый взгляд все выглядит безопасно, но, к сожалению, код программ закрыт, и насколько можно доверять разработчику — вопрос.

Третий модуль — AdmiLaunch — отвечает за запуск окон в разных режимах, и он используется для запуска AdmiRun, если создавать ярлык через AdmiLink.

В целом, решение проверено годами и поколениями отечественных системных администраторов. Но добавлю и альтернативу из-за рубежа.

RunAsRob — довольно интересное ПО за авторством немецкого разработчика Оливера Хессинга (Oliver Hessing). В отличие от AdmiLink, ПО устанавливается как служба, запускаемая под привилегированной учетной записью (администратора или системы). Как следствие, подготовленный ярлык обращается к службе, которая уже в свою очередь запускает заданное ПО.

Особенность программы в том, что есть возможность авторизовать не только программы, но и папки (включая сетевые). А хранение настроек в реестре позволило добавить шаблоны групповых политик, примерно как мы писали в статье «Погружение в шаблоны и приручение GPO Windows». Благодаря этому при необходимости настройки можно применять прямо из Active Directory.

Основное окно программы.

Программа богато документирована на официальном сайте.

У этого автора есть еще и программа RunAsSpc, позволяющая запускать исполняемые файлы под правами другого пользователя, передавая учетные данные через зашифрованный файл.

Мне остается только добавить, что это ПО бесплатно только для личного использования.

Но учтите, что из программы, запущенной под административными правами, можно натворить бед. Например, запустить привилегированную командную консоль через диалог Файл — Открыть.

Запускаем cmd.exe прямо из редактора реестра.

Немного защититься помогут политики запрета контекстного меню и прочих диспетчеров задач, часть из которых может настроить AdmiLink. Но в любом случае следует быть осторожным.

Изменение параметров системы контроля учётных записей

Эта система (UAC) была введена впервые в ОС Windows Vista. Она предназначена для предотвращения изменений, которые могут внести потенциально опасные программы. Делается это с помощью уведомлений, выдаваемых перед попыткой внесения изменений, на которые нужны администраторские права. В этой системе предусмотрены четыре уровня уведомлений:

• Всегда уведомлять. Уведомления выдаются при любой попытке внести изменения в файлы или параметры Windows, которые требуют привилегий администратора. После вывода уведомления рабочий стол блокируется, чтобы предотвратить исполнение программы. Для продолжения работы, необходимо в окне UAC ответить на запрос (принять или отклонить).
• Выдаются при любой попытке внести изменения в файлы, которые требуют прав администратора. При попытке изменения параметров Windows уведомления не выводятся, но если это делает внешняя программа, то они выдаются. Рабочий стол затемняется. Наиболее безопасный параметр.
• То же, что и предыдущий уровень, но без затемнения рабочего стола.
• Никогда не уведомлять.

Первый уровень – самый безопасный, но требующий постоянного вмешательства пользователя, последний – наименее безопасный. Таким образом, для отключения UAC достаточно просто перейти на нижний уровень, выполнить требуемые действия и восстановить ранее установленный уровень.

Изменить уровень уведомлений можно таким образом: «Пуск» – «Панель управления» – «Учётные записи пользователей» – «Изменение параметров контроля учётных записей». Будет выдано окно, имеющее ползунок с четырьмя положениями уровня уведомлений. Для отключения UAC нужно убрать ползунок в нижнее положение и кликнуть «ОК».

После этого Windows будет считать каждого пользователя администратором.

Включение учётной записи администратора

Если пользователь все же предпочёл, невзирая на риск, дать себе права администратора, то это действие можно выполнить двумя способами:

• С помощью командной строки.
• Через панель управления.

Администраторские права с помощью командной строки

Чтобы получить права администратора в Windows 7, нужно выполнить следующие действия:

1. Нажать «Пуск» и ввести в строку поиска команду cmd.
2. В появившемся окне правой кнопкой мыши щёлкнуть строку cmd и в раскрывшемся списке выбрать «Запуск от имени администратора».
3. В открывшемся окне командной строки ввести net user administrator /active:yes (в англоязычной версии Windows) или net user администратор /active:yes (в русскоязычной версии Windows), затем нажать Enter.
4. В командной строке ввести net user administrator  (в англоязычной версии Windows) или net user администратор (в русскоязычной версии Windows), затем нажать Enter. Вместо  нужно задать пароль, который должен быть установлен для учётной записи администратора.
5. Ввести команду exit и нажать  Enter.
6. Перезагрузиться и войти в систему под УЗА.

Права администратора через Панель управления

Чтобы обладать администраторскими правами, можно это сделать и другим способом. Он таков:

• Открыть панель управления и выбрать пункт «Администрирование».
• В правой части открывшегося окна дважды щёлкнуть «Управление компьютером».
• В открывшемся окне раскрыть пункт «Локальные пользователи» и щёлкнуть по элементу «Пользователи». Откроется окно следующего вида со списком всех пользователей этого компьютера.

Далее следует дважды щёлкнуть по пункту «Администратор» и получить окно с его свойствами.

Как из него видно, УЗА отключена. Для её включения нужно убрать галку с элемента «Отключить учётную запись» и нажать «ОК». После этого следует перезагрузиться и войти под УЗА.

Права администратора для файлов и папок

Не следует забывать, что если всегда запускать операционную систему от имени администратора, на компьютер может «вселиться» вредоносная программа, ведь ей будут даны администраторские права.

Поэтому безопаснее эти права дать не на весь компьютер, а на отдельные папки и файлы.

Этот факт объясняется тем, что при работе под учётной записью простого пользователя будут работать предустановленные средства защиты, и проникновение вредоносного кода на компьютер практически невозможно. Что же нужно сделать, чтобы дать повышенные права файлам и папкам?

Дать возможности администратора программе

Если при своём запуске какая-то программа требует привилегий администратора, то это можно сделать следующим простым способом.

Щёлкаем правой кнопкой мыши по её ярлыку, появится контекстное меню, из него нужно выбрать пункт «Свойства». Открывается окно свойств, в котором выбираем вкладку «Совместимость».

Она всегда содержит чекбокс «Всегда выполнять программу от имени администратора», метим его установкой галки, затем нажимаем «ОК».

Расширенные права для папок и файлов

Часто случается так, что пользователь не может, например, удалить какую-либо папку или файл. Это связано с тем, что в свойствах этого объекта на вкладке «Безопасность» у группы «Система» нет разрешения на полный доступ. Необходимо дать это разрешение и проблема исчезнет.

Стоит ли вообще получать расширенные возможности

Известно, что около 60% всех случаев внедрения в компьютеры вредоносных программ происходит как раз при режиме работы под УЗА.

Дело усугубляется ещё и тем, что многие пользователи даже не считают необходимым использовать при интернет-сёрфинге новые версии браузеров, файерволов и антивирусных программ. Сегодня существует достаточно мало программ, требующих административных привилегий.

Если такое приложение применяется для повседневной работы, то лучшим вариантом будет найти не такую требовательную альтернативу.

Как удалить учётную запись

После всего сказанного о риске постоянной работы под УЗА у многих читателей может возникнуть вопрос об удалении этой учетки. Это сделать несложно.

Выполните «Пуск» — «Панель управления» — «Учётные записи пользователей». Откроется окно с перечнем всех учётных данных пользователей, зарегистрированных на данном компьютере.

Следует выделить нужную запись при помощи левой кнопкой мыши и выбрать пункт «Удалить учётную запись».