doroZHka Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Допустим, есть в Windows XP пользователь с ограниченными правами. Необходимо выполнить от его имени программу с правами админа. Если работает служба "Вторичный вход в систему", то можно воспользоваться пресловутой программой   runas и запустить что-то от администратора, но проблема в том, что изменения в системе НЕ коснутся личного профиля юзера!   Например, если программа, запущенная через runas, создаст ярлык на рабочем столе, то он окажется у админа (разве что если не через "all users" создавать). Если прога отредактирует ветку реестра HKCU, то опять же редактируется ntuser.dat админа... И даже ключ runas c ключом /env тут не поможет     Вот в линуксе есть программа su. Она просто временно переносит юзера в группу суперюзеров и это позволяет работать от имени пользователя, но с неограниченными правами. А в винде делать юзера админом, отлогиниваться, логиниться, потом убирать из группы админов - это очень запарно при большом количестве пользователей.   В общем, если у кого есть какие идеи, то очень буду рад вашим вариантам! Всего записей: 32 | Зарегистр. 08-10-2007 | Отправлено: 01:00 08-10-2007

01MDM Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору doroZHka Остается только выставить права на выполнение этой программы и runas в этом поможет. Всего записей: 2638 | Зарегистр. 13-02-2006 | Отправлено: 14:17 08-10-2007

doroZHka Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору daadtv 01MDM Ребята, я в своём первом посте написал, что команда runas, равно как и  "запуск от имени" (при помощи выбора из контекстного меню) осуществляет запуск от имени нужного пользователя. Если я запущу от имени администратора (пароль я знаю), то программа будет иметь дело именно с профилем администратора. Нужен способ запуска программ, временно поднимающий права текущего пользователя! Вот. Всего записей: 32 | Зарегистр. 08-10-2007 | Отправлено: 19:17 08-10-2007

bornbill Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору а разве параметр /env не есть то о чём ты говориш? Всего записей: 1440 | Зарегистр. 02-04-2004 | Отправлено: 20:10 08-10-2007

wzbryk Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору doroZHka Попробуйте: - http://winsudo.toadlife.net - http://sudowin.sourceforge.net Всего записей: 380 | Зарегистр. 09-08-2001 | Отправлено: 21:28 08-10-2007

01MDM Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору doroZHka   Выстави права на нужную тебе программу при помощи cacls, которую вызовешь через runas. Я это и написал, ну почти так написал.. смысл тот же. Или runas /env. Всего записей: 2638 | Зарегистр. 13-02-2006 | Отправлено: 22:19 08-10-2007

doroZHka Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 01MDM   хм... вчитайтесь пожалуйста внимательнее в мою проблему. Причём тут cacls? Выставлять права доступа к нужным объектам при совершенно непредсказуемых целях, да ещё при парке компьютеров в 80 шт. - это мягко говоря убойно будет.   bornbill   На счёт runas /env... Повторюсь. Это не решает проблему! Ключ /env, насколько мне стало ясно, просто позволяет перенять переменные окружения (вы можете посмотреть их у себя, вызвав команду set). В данном же случае необходимо либо поднять привилегии текущего пользователя, либо унаследовать пользовательские объекты, такие как CSIDL_PERSONAL, CSIDL_DESKTOP и т.д.   wzbryk   Спасибо, буду пробовать! Обязательно отпишусь при положительных результатах =) Всего записей: 32 | Зарегистр. 08-10-2007 | Отправлено: 02:47 09-10-2007 | Исправлено: doroZHka, 02:49 09-10-2007

wzbryk Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору doroZHka Цитата: Обязательно отпишусь при положительных результатах   При отрицательных - тоже отпишитесь, пожалуйста! Интересно, можно ли решить такую задачу без скриптов и exe-шников, а только на основе готовых средств наподобие win-sudo-win... Всего записей: 380 | Зарегистр. 09-08-2001 | Отправлено: 03:11 09-10-2007

01MDM Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Что значит совершенно непредсказуемые цели?   Всего записей: 2638 | Зарегистр. 13-02-2006 | Отправлено: 04:17 09-10-2007

HighwayStar Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору doroZHka Цитата: Если работает служба "Вторичный вход в систему", то можно воспользоваться пресловутой программой    runas и запустить что-то от администратора, но проблема в том, что изменения в системе НЕ коснутся личного профиля юзера! Так зачем программе которой нужны прова администратора запускаться потом в окружении пользователя?   Если речь о кривых инсталяторах которые просят админа для установки программы которая не требует админских прав и делают настройки и ярлыки только в профиле админа, то это не правильные программы. Фтопка их ждет. Единственный вариант, это переделать исталятор самому отследив с помощью сспец программ что он делает или руками сделать нужные изменения или ярлыки для всех. Собственно после таких опытов понял что виндой в многопользовательском режиме пользоваться крайне сложно, а в однопользовательской оченть опасно и винда отправилась вслед за неправильными программами.   Цитата: Вот в линуксе есть программа su. su это сокращение от Switch user - можно залогиниться под другим пользователем не выходя из системы, никаких особых прав текущему пользователю это не дает и программа выполняется с домашним каталогом /root Если речь идет о sudo то да. программа вырлняется в окружении пользователя. Еще там есть такая замечательная опция как SUID bit с которым sudo не нужно, очень помогает для различных звонилок, таких как kppp.   Добавлено: Вообще вопрос очень интересный, и если что-то получиться/неполучиться опиши ту результат. Вообще неплохо бы развить тему "Как сделать Windows XP полноценной многопользовательской системой" и рассматривать там вопросы о кривых инсталяторах и программахкоторые не умеют работать в окружение пользователя-неадмина.   Добавлено: All Вообще предлагаю тут высказать соображения по поводу безопасной винды.   Я вот был бы не против сделать домашний каталог обычного пользователя вообще неисполняемым и ставить программы только из под админа, а под обычным пользователем их лишь юзать. Ибо нечего пользователям выполнять в своем профиле, все что нужно для работы, ставит админ в общесистемные каталоги.  Но на практике это все лишь мечты - приходится пользоваться такими костылями как Опытный пользователь (Power User) чтобы ставить программы не под админом и чтобы они потом ее как то работали. Всего записей: 1048 | Зарегистр. 16-04-2005 | Отправлено: 05:58 09-10-2007

doroZHka Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору wzbryk   Цитата: При отрицательных - тоже отпишитесь, пожалуйста! Интересно, можно ли решить такую задачу без скриптов и exe-шников, а только на основе готовых средств наподобие win-sudo-win...   Тестировал на Windows XP Pro со всеми последними обновлениями. Установил и перезагрузился (обе проги устанавливают в систему свою службу). 1. Та, которая sudowin. Служба запущена. Находимся в пользователе. Клацаем на нужной программе правой кнопкой и выбираем "sudo". В ответ появляется диалоговое окно для ввода видимо пароля администратора, но поле ввода неактивно и под ней надпись красными буквами "Sudowin service is dead to you"... Звучит очень жизнеутверждающе! 2. Та, которая WinSUDO. Всё точно также: установлена служба, добавлена некая группа пользователей, видимо в которую временно переносится юзер в момент запуска программы. Также в контекстном меню исполняемого файла выбираем пункт "sudo", открывается консольное окно, где мне сообщается, что пользователь не принадлежит той самой sudo-группе. Ну, я ради экскремента добавил в неё пользователя и в ответ на это при повторном запуске консольное окно выдало следующее:                     *** ERROR ***      Timeout waiting for signal to run command.     Please make sure the sudo_service is running.   Для продолжения нажмите любую клавишу . . .   Вот такие пироги (сырые).   01MDM Цитата: Что значит совершенно непредсказуемые цели?   Дело в том, что я не могу заранее сказать, какие папки и файлы понадобятся пользователям в дальнейшем для доступа, но чем их в данный момент меньше, тем лучше для безопасности.   HighwayStar Цитата: Так зачем программе которой нужны прова администратора запускаться потом в окружении пользователя? Не то что бы этим программам нужны админские права для работы. Дело в другом. Иногда необходимо эти программы перенастроить. Читать настройки эти программы могут и этого для работы им достаточно. Но стоит попытаться отредактировать файлы или реестр пользователя, как начинаются проблемы с правами доступа.   Цитата: Единственный вариант, это переделать исталятор самому отследив с помощью сспец программ что он делает или руками сделать нужные изменения или ярлыки для всех. Чесно говоря, не хотелось бы ковырять инсталяторы например того же Microsoft Office, которые содержат проверку целостности. Например, установим его под пользователем, но через runas от имени админа. Программа работает нормально, но вот асооциации ворда и док-файлов выставляются у админа, но не у юзера. И так практически с любой программой.   Цитата: su это сокращение от Switch user - можно залогиниться под другим пользователем не выходя из системы, никаких особых прав текущему пользователю это не дает и программа выполняется с домашним каталогом /root   Насколько мне было известно, su более полно расшифровывается как Switch user ID. К этой программе тоже идут опции, которые позволяют выбрать нужное окружение (и вроде не только root). Но возможно у меня устаревшие данные (так вроде в AT&T unix) Наверное Вам виднее. Всего записей: 32 | Зарегистр. 08-10-2007 | Отправлено: 17:48 09-10-2007

HighwayStar Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору doroZHka Цитата: "Sudowin service is dead to you"... На сайте написано, что после добавления пользователя в спецгруппу, надо разлогиниться и зайти снова, чобы он получил права группы   Почитал http://sudowin.sourceforge.net/ , по описание это именно то что нужно. пишут что можно даже как в Убунте делать образы для предустановки системы в которых запись администратора будет отключена, и помещать первого пользователя в группу sudoers который и будет при необходимости получать права на настройку системы.   Сейчас качну буду пробовать.   Добавлено: Еще радует подробная документация и обилие настроек, надо разобраться со всем этим. Всего записей: 1048 | Зарегистр. 16-04-2005 | Отправлено: 18:10 09-10-2007

01MDM Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору doroZHka Тогда попробуй устанавливать программы с системными правами. Опять же runas cmd, потом через at запускай нужный тебе файл в интерактивном режиме. Для экономии сил составь пакетный файл.   Всего записей: 2638 | Зарегистр. 13-02-2006 | Отправлено: 18:21 09-10-2007

HighwayStar Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору попробовал sudowin   падает с ошибкой Код: System.Runtime.InteropServices.COMException (0x80005004): Запрошен неизвестный объект службы каталогов Ей нужен Net. framework? У меня он есть 1.1 и 2.0, но похоже что-то с ним не так.   Добавлено: Ура! Получилось. Нужно в файле   C:\Program Files\Sudowin\Server\sudoers.xml   в секции Код: <user name="microsof-9b5412\user" allowAllCommands ="true"> заменить выделенное на имя своей машины\пользователя потом в Код: privilegesGroup="Administrators"   На русской системе заменить на Код: privilegesGroup="Администраторы"     Далее  в секции <commands> </commands>  прописываем разрешенные команды вида Код: <command path="c:\windows\system32\regedit.exe" />                         <command path="C:\Program Files\AusLogics Disk Defrag\diskdefrag.exe" /> потом остается из консоли запустить sudo команда   или в ГУИ из контекстного меню sudo.. и ввести пароль пользователя.   Точно надо делать из венды Убунту Всего записей: 1048 | Зарегистр. 16-04-2005 | Отправлено: 18:35 09-10-2007

HighwayStar Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Теперь вот в голове крутится мысль как сделать винду без Администратора. Идеальное решение было бы для домашних пользователей. Если бы сделать запуск всех апплетов Панели управления через sudo... то можно отключить админа совсем и работать в безопасной системе. Всего записей: 1048 | Зарегистр. 16-04-2005 | Отправлено: 06:58 10-10-2007

sarti Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору HighwayStar, ага, а следующим желанием, видимо, будет "как работать в винде без винды, чтобы не переустанавливать её каждый раз после бсода", да? ---------- ☭ Всего записей: 1972 | Зарегистр. 04-08-2006 | Отправлено: 07:17 10-10-2007

doroZHka Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 01MDM Цитата: Тогда попробуй устанавливать программы с системными правами. Опять же runas cmd, потом через at запускай нужный тебе файл в интерактивном режиме. Для экономии сил составь пакетный файл.     Интересно тогда, как же программа, запущенная от учётной записи system, будет работать с такими объектами как CSIDL_PERSONAL или CSIDL_DESKTOP? Где же у пользователя system будет рабочий стол и всё остальное? Кстати, запуск с правами системы через планировщик в ХР вроде уже не работает с выходом sp2, или я не прав?   HighwayStar   Настроил так как Вы и сказали, добавил в группу, поправил конфигурацию. Попробовал запустить через меню, появляется окно, ввожу пароль, нажимаю ОК, но ничего не происходит. Тоже самое и в консольной версии.   У кого получилось хоть как-то поработать с этой программкой? Всего записей: 32 | Зарегистр. 08-10-2007 | Отправлено: 22:39 10-10-2007

vu1tur Moderator-Saaber Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору doroZHka Цитата: Кстати, запуск с правами системы через планировщик в ХР вроде уже не работает с выходом sp2, или я не прав? работает, чего ему не работать… ---------- I am free of all prejudice. I hate everyone equally. Всего записей: 3690 | Зарегистр. 01-02-2003 | Отправлено: 10:08 11-10-2007

HighwayStar Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору doroZHka Цитата: Попробовал запустить через меню, появляется окно, ввожу пароль, нажимаю ОК, но ничего не происходит. Тоже самое и в консольной версии. На оффсайте есть ФАК, там написано что если после запуска sudowin ничего не происходит, ни запуска программы никаких сообщений ни ошибок, то скорее всего в Windows отключена служба терминалов. Она необходима для работы sudowin   Цитата: У кого получилось хоть как-то поработать с этой программкой? Я прекрасно запустил с ней regedit и мог редактировать ветки реестра которые доступны только администраторам и запустил дефрагментатор который работает только от администратора. Также запускал explorer.exe и ходил по папкам где у меня стоит разрешение толкьо для админов. Пробовал создавать файлы, файлы там создаются причем принадлежат они пользователю а не администратору как происходит в случаем run as.. Всего записей: 1048 | Зарегистр. 16-04-2005 | Отправлено: 14:45 11-10-2007 | Исправлено: HighwayStar, 14:45 11-10-2007

Страницы: 1 2

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Как юзеру выполнить программу с правами админа?

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование