Bfsoft.ru

Программы, сервисы, полезные советы о компьютере и интернете
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как получить или убрать права администратора в Windows

[Конспект админа] Что делать, если программа хочет прав администратора, а вы нет

К сожалению, в работе сисадмина нет-нет да и приходится разрешать пользователям запускать всякий софт с админскими правами. Чаще всего это какие-нибудь странные китайские программы для работы с оборудованием. Но бывают и другие ситуации вроде небезызвестного bnk.exe.

Выдавать пользователю права администратора, чтобы решить проблему быстро и просто, противоречит нормам инфобезопасности. Можно, конечно, дать ему отдельный компьютер и поместить в изолированную сеть, но — это дорого и вообще…

Попробуем разобрать решения, которые позволят и программу запустить, и безопасника с финансистом не обозлить.

Ну, и зачем тебе права?

Программа может запрашивать права администратора условно в двух случаях:

  1. Когда хочет получить доступ туда, куда «простым смертным» нельзя: например, создавать файлы в системных каталогах.
  2. Когда программу скомпилировали со специальным флагом «Требовать права администратора».

С первым случаем все понятно: берем в руки замечательную программу Марка Руссиновича Process Monitor, смотрим, что происходит, и куда программа пытается залезть:

Куда это лезет этот 7Zip?

И по результатам исследования выдаем права пользователю на нужный каталог или ветку реестра.

Сложнее, если случай клинический, и так просто выдать права не получится: например, программа требует сильного вмешательства в работу системы вроде установки драйверов. Тогда придется придумывать всякий колхоз, про который речь пойдет в последнем разделе статьи. Пока подробнее освещу второй случай — когда стоит флажок.

Если сильно упростить, то в специальном манифесте программы (к слову, установщики — это тоже программы) могут быть три варианта запуска:

  • asInvoker. Программа запускается с теми же правами, что и породивший ее процесс (как правило, это explorer.exe c правами пользователя);
  • highestAvailable. Программа попросит максимально доступные пользователю права (у администратора появится окно с запросом повышения UAC, у пользователя — нет);
  • requireAdministrator. Программа будет требовать права администратора в любом случае.

Если разработчик твердо решил требовать права администратора, даже если они не нужны, то обойти это можно малой кровью.

Нет, не будет тебе прав

В системе Windows, начиная с Vista, появилась служба UAC, которая помимо прочего отвечает за запросы программ на повышение прав. Не все программы «переваривали» работу с этой службой. Поэтому в системе был доработан механизм совместимости приложений, позволяющий прямо задать программе ее поведение — запрашивать права или нет.

Простейшим вариантом работы с этим механизмом будет использование переменных среды.

Рассмотрим пример с редактором реестра. Действительно, запуская regedit.exe под администратором, мы получаем запрос на повышение прав:

Запрос повышение прав.

Если же мы запустим редактор реестра из консоли, предварительно поменяв значение переменной среды __COMPAT_LAYER на:

То запроса UAC не будет, как и административных прав у приложения:

Бесправный редактор реестра.

Этим можно пользоваться, запуская программы батниками или добавляя контекстное меню через реестр. Подробнее читайте в материале How to Run Program without Admin Privileges and to Bypass UAC Prompt?

С конкретным примером такой неприятной программы можно столкнуться при загрузке классификаторов банков из 1С с сайта РБК по ссылке http://cbrates.rbc.ru/bnk/bnk.exe. Если обновление классификаторов отдается на откуп самим пользователям и нет возможности поменять загрузку на bnk.zip (а современные 1С это поддерживают), то приходится придумывать костыли. Ведь bnk.exe — самораспаковывающийся архив, в котором зачем-то прописано «Требовать права администратора».

Поскольку ярлычками тут обойтись не выйдет, ведь 1С сама скачивает файл и запускает его, то придется применять тяжелую артиллерию — Microsoft Application Compatibility Toolkit.

Читайте так же:
Как исправить ошибки в XAPOFX1_5.dll

Документация к ПО, как обычно, доступна на официальном сайте, загрузить можно как часть Windows Assessment and Deployment Kit. Сам процесс решения проблемы несложен.

Необходимо поставить утилиту, запустить Compatibility Administrator и создать Application Fix в новой или имеющейся базе данных:

Создаем исправление приложения.

Имя и издатель значения не имеют. Имеет значение только расположение файла — тут нужно указать реальный проблемный bnk.exe (где он будет лежать на самом деле — не важно).

Далее необходимо в списке исправлений выбрать RunAsInvoker.

Выбираем нужный фикс.

Все остальное оставляем по умолчанию, сохраняем базу данных. Должно получиться примерно так:

Созданный фикс для bnk.exe.

После этого достаточно будет установить базу данных, щелкнув по ней правой кнопкой и выбрав Install. Теперь пользователи смогут сами грузить классификаторы банков.

Все становится хуже, если приложению действительно нужны права админа. Тогда добавление прав на системные объекты и исправления не помогают.

Ну ладно, держи права

Казалось бы, самым очевидным решением для запуска нашего странного ПО выглядит использование встроенной утилиты Runas. Документация доступна на сайте Microsoft.

Ну, посмотрим, что из этого выйдет.

Действительно, RunAs запустит 7zip с правами учетной записи «Администратор», спросит пароль и запомнит его. Потом ярлык с такой строкой запуска будет запускать 7zip под Администратором без вопросов.

)

Есть один существенный недостаток: пароль запоминается на уровне системы, и теперь, используя команду Runas, можно будет запускать абсолютно любую программу. Это мало чем отличается от прямого предоставления админских прав сотрудникам, так что использовать это решение не стоит.

Если мы начали с консольных команд, то перейдем к более высокоуровневым скриптам. Интересное решение было предложено в статье «Планктонная Windows», где упомянутый выше Runas обвязывался js-скриптом и пропускался через обфускатор. У решения есть и очевидный минус — скрипт можно раскодировать.

Чуть более интересным методом в 2к20 являются возможности PowerShell и его работа с паролями. Подробнее можно почитать в материале «Защита и шифрование паролей в скриптах PowerShell».

Если вкратце: в PS работа с паролями производится через специальный тип данных SecureString и объект PSCredential. Например, можно ввести пароль интерактивно:

Затем сохранить пароль в зашифрованном виде в файл:

И теперь использовать этот файл для неинтерактивной работы:

К сожалению, файл этот можно использовать только на том ПК, на котором его создали. Чтобы этого избежать, можно сделать отдельный ключ шифрования. Например так:

Теперь при помощи этого ключа пароль можно зашифровать:

К сожалению, с безопасностью дела обстоят так же печально: утащить пароль не составляет трудностей, если есть доступ к файлу с ключом шифрования и зашифрованным паролем. Да, можно добавить обфускации и скомпилировать скрипт в .exe вместе с нужными файлами. Но нужно понимать, что это — полумеры.

Другим интересным вариантом может быть применение назначенных заданий — если создать назначенное задание от админского аккаунта, пользователю для работы будет достаточно его запуска. К сожалению, для интерактивной работы с приложением это решение не подходит.

На свете существует несколько сторонних решений, призванных решить задачу. Остановлюсь на парочке из них.

Пожалуй, одна из самых известных утилит — это AdmiLink, разработанная Алексеем Курякиным для нужд ядерной физики. Программа и принципы ее работы описаны на официальном сайте. Я, как обычно, позволю себе более краткое описание.

Программа состоит из трех модулей. AdmiLink — это графическое окно, где можно создать ярлык на нужное приложение (в принципе, в ряде случаев достаточно только его).

Читайте так же:
Как отключить автообновление приложений на Android

Основное окно программы.

Помимо непосредственно создания ярлыка (и да, запрос UAC тоже можно подавлять), есть и дополнительные функции вроде калькулятора, терминала и удобных настроек политик безопасности. Со всеми возможностями программы читателю предлагается разобраться самостоятельно.

Второй модуль называется AdmiRun и представляет из себя консольную утилиту. Она умеет запускать приложения от имени администратора, получив в качестве одного из параметров строку, созданную через AdmiLink. В строке шифруется имя пользователя и пароль, при этом участвует и путь к программе.

На первый взгляд все выглядит безопасно, но, к сожалению, код программ закрыт, и насколько можно доверять разработчику — вопрос.

Третий модуль — AdmiLaunch — отвечает за запуск окон в разных режимах, и он используется для запуска AdmiRun, если создавать ярлык через AdmiLink.

В целом, решение проверено годами и поколениями отечественных системных администраторов. Но добавлю и альтернативу из-за рубежа.

RunAsRob — довольно интересное ПО за авторством немецкого разработчика Оливера Хессинга (Oliver Hessing). В отличие от AdmiLink, ПО устанавливается как служба, запускаемая под привилегированной учетной записью (администратора или системы). Как следствие, подготовленный ярлык обращается к службе, которая уже в свою очередь запускает заданное ПО.

Особенность программы в том, что есть возможность авторизовать не только программы, но и папки (включая сетевые). А хранение настроек в реестре позволило добавить шаблоны групповых политик, примерно как мы писали в статье «Погружение в шаблоны и приручение GPO Windows». Благодаря этому при необходимости настройки можно применять прямо из Active Directory.

Основное окно программы.

Программа богато документирована на официальном сайте.

У этого автора есть еще и программа RunAsSpc, позволяющая запускать исполняемые файлы под правами другого пользователя, передавая учетные данные через зашифрованный файл.

Мне остается только добавить, что это ПО бесплатно только для личного использования.

Но учтите, что из программы, запущенной под административными правами, можно натворить бед. Например, запустить привилегированную командную консоль через диалог Файл — Открыть.

Запускаем cmd.exe прямо из редактора реестра.

Немного защититься помогут политики запрета контекстного меню и прочих диспетчеров задач, часть из которых может настроить AdmiLink. Но в любом случае следует быть осторожным.

А вам приходилось городить странные костыли? Предлагаю делиться историями в комментариях.

Как отключить администратора Windows 10 — ТОП-3 рабочих способа

Как отключить администратора windows 10

Как отключить Windows

Все ОС от Microsoft поставляются со встроенной учетной записью Администратора. Она обладает расширенным доступом к файловой системе и может вносить критические изменения. Запись по умолчанию отключена, а вместо нее пользователю предлагается завести отдельный аккаунт с административными правами. Тем не менее иногда она становится причиной сложностей в управлении ПК. Поэтому пользователи решают ее отключить. Просто удалить файлы и избавиться от ограничений не удастся. Самодеятельность в решении такой проблемы может нанести серьезный вред Windows. Поэтому нужно заранее разобраться, как отключить учетную запись Администратора или удалить ее.

Как отключить учетную запись Администратора через «Управление компьютером»

Деактивировать Администратора Windows 10 можно с помощью настройки ОС через «Управление компьютером». Там же получится отредактировать других локальных пользователей. Исключением будет использование аккаунта Microsoft. Настраиваются только внутренние пользовательские учетные записи.

  1. Откройте «Управление компьютером». Сделать это можно выбором соответствующей опции в меню, вызванном правым кликом мыши по кнопке «Пуск».
  1. Выберите раздел «Локальные пользователи» в левом боковом меню.
  1. В списке локальных аккаунтов кликните правой кнопкой мыши по административному и перейдите к его свойствам.
  1. Поставьте галочку напротив его отключения. Цвет значка изменится, а в нижней части появится стрелочка.
  1. ОС Windows полностью настроится на работу без аккаунта с неограниченными правами после следующего старта. Поэтому остается перезагрузить компьютер.
Читайте так же:
Как исправить ошибки в X3DAudio1_7.dll

Включить встроенную учетную запись можно аналогичным образом. Достаточно снять галочку. В меню сервиса также получится сменить локального Админа и настроить права пользователей.

Отключение локального Администратора Windows 10 с помощью командной строки

Для отключения или смены администратора можно воспользоваться также консолью CMD. Такой способ будет самым быстрым и простым. Однако он потребует дополнительных знаний, если что-то пойдет не так.

Отключение Админа через командную строку:

  1. Запустить командную строку можно из меню «Пуск». Находится она внутри раздела «Служебные».
  1. Чтобы настройка была принята ОС, запустим консоль с административными правами, выбрав соответствующую опцию правым кликом мыши.
  1. После запуска CMD воспользуемся командой:

P.S: Вводите имя администратора правильно! У кого то может быть англоязычный вариант, как в примере выше. Так и русскоязычный вариант, как на скриншоте.

Аналогичным образом можно активировать аккаунт Админа вновь либо взаимодействовать с обычными пользователями. Достаточно ввести команду с заменой no на yes или любым названием локальной учетки на месте administrator. С помощью консоли CMD получится не только отключить права Администратора, но и выполнить иные задачи.

Выключение встроенной учетной записи Админа через редактор групповой политики

Отключить учетную запись Администратора получится также через редактор групповой политики. Его можно применять для всесторонней настройки аккаунтов на компьютере.

Как отключить встроенную учетку:

  1. Запустить редактор можно из диалогового окна «Выполнить». Откроем его сочетанием клавиш Win+R.
  1. Введите команду gpedit.msc и нажмите кнопку запуска программы для перехода к локальным групповым политикам.
  1. Перейдите раздел «Конфигурация Windows» в левом боковом меню. Откройте «Параметры безопастности», кликните по вкладке «Локальные политики» и нажмите по подразделу «Параметры безопастности».
  1. В основном окне справа дважды кликните по статусу учетной записи встроенного Администратора.
  1. Выберите опцию «Отключить» внутри появившегося окна. Активировать встроенную учетную запись вновь получится отметкой соответствующего пункта.

Windows 10 Home не содержит редактора групповой политики в базовом пакете поставки. Поэтому для отключения локальных админов или других аккаунтов придется воспользоваться иными способами либо установить отсутствующие компоненты самостоятельно.

Как удалить Администратора

Если возникает желание удалить Администратора Windows 10 полностью, придется редактировать реестр. Иные средства не принесут успеха. Удалить папку ОС не позволит даже через командную строку.

Как удалить локального Админа:

  1. Откройте редактор реестра командой regedit через Win+R.
  1. Выберите раздел HKEY_LOCAL_MACHINE, откройте SAM и кликните по одноименной внутренней папке правой кнопкой мыши. Далее нажмите «Разрешения».

открытие раздела "разрешения" папки SAM

  1. Перейдите в группу администраторов и внутри вкладки «Безопасность» задайте полный доступ. Обновите реестр Windows клавишей F5.
  1. Перейдите глубже внутри папки SAM до списка пользователей через Domains, Account, Users и Names.
  1. Кликните правой кнопкой по аккаунту Administrator. Останется удалить встроенную учетную запись соответствующим пунктом.

Перед стиранием локального Администратора следует сделать резервную копию реестра. Если вы совершите ошибку, Windows получится восстановиться к работоспособному состоянию.

Часто задаваемые вопросы

Отдельные сложности могут возникнуть, если требуется отключить Администратора на более ранних версиях Windows. В таких случаях параметры ОС отличаются расположением и структурой, а управлять встроенным аккаунтом получится не всеми способами.

Методы отключения Админа в Windows 7 и 8:

-В меню «Управление ПК», открываемое через «Панель управления» внутри раздела администрирования;
-Посредством командной строки таким же образом, как на 10 версии операционной системы.

Удаление системных файлов на Windows 7 или 8 для полной очистки от административного аккаунта так же будет ограничено со стороны ОС. Единственным способом остается редактирование реестра.

Читайте так же:
Как установить и настроить Ubuntu Server

Как удалить учетную запись администратора в Windows 10

Чтобы удалить учетную запись администратора в Windows 10, необходимо воспользоваться предустановленными инструментами для управления правами доступа в операционной системе (ОС). Всего существует три метода, выполнение которых кардинально отличаются друг от друга, но приводит к одинаково эффективному результату.

Как убрать права администратора в Windows 10

Отключить права администратора в Windows 10 можно посредством предустановленных в системе утилит. Каждый представленный в статье метод одинаково подходит для достижения поставленной цели, при этом неверное изменение параметров в ходе выполнения инструкции не приведет к возникновению критических ошибок.

Через параметры системы

Снять права суперпользователя с определенного юзера можно путем изменения параметров ОС. Пошаговое руководство:

  1. Кликнуть правой кнопкой мыши (ПКМ) по меню « Пуск » и выбрать опцию « Параметры ».

Вход в параметры системы

  1. Перейти в раздел « Учетные записи ».

Перехов в меню Учетные записи

  1. На вкладке « Семья и другие пользователи » щелкнуть по аккаунту, который необходимо удалить.
  2. В появившемся меню кликнуть Удалить . Подтвердить действие в диалоговом окне.

Удаление пользователя

С помощью «Панели управления»

Выполнить удаление прав суперпользователя можно с помощью специального инструмента в системе. Пошаговое руководство:

  1. Развернуть меню « Пуск », перейти в папку « Служебные — Windows » и запустить утилиту « Панель управления ».

Открытие панели управление через «Пуск»

  1. В открывшемся окне выставить режим отображения элементов « Крупные значки » и кликнуть по пункту « Учетные записи пользователей ».

Переход в учетные записи пользователей

  1. Перейти по гиперссылке « Управление другой учётной записью ».

Переход в пункт Управление другой учётной записью

  1. Выбрать из списка аккаунт, от которого нужно избавиться.

Выбор нужного аккаунта

  1. В новом меню кликнуть по строке « Удаление учётной записи ».

Удаление учетной записи

  1. Подтвердить действие нажатием по Удалить файлы .

Подтвердить удаление

Посредством приложения «Учетные записи пользователей»

В системе есть отдельное средство, направленное на взаимодействие исключительно с ранее созданными профилями. Чтобы избавиться от админа, необходимо:

  1. Кликнуть ПКМ по меню « Пуск », нажать по строке « Выполнить ».

Выполнить

  1. В появившемся интерпретаторе команд ввести значение netplwiz , щелкнуть ОК .

Ввод команды netplwiz

  1. В новом окне, которое откроется, в списке выделить имя аккаунта.
  2. Нажать Удалить , подтвердить действие.

Удаление аккаунта

Обратите внимание! В колонке « Группа » можно увидеть, какие профили обладают правами суперпользователя.

Путем ввода консольной команды

Консоль, запущенная от имени суперпользователя — обладает неограниченными возможности по взаимодействию с ОС. Чтобы деактивировать аккаунт, необходимо:

  1. Щелкнуть ПКМ по значку « Пуск », щелкнуть по опции « Windows PowerShell (администратор) ». Подтвердить запуск в диалоговом окне.

Открытие Windows PowerShell через меню «Пуск»

  1. Вписать команду net users и нажать Enter , чтобы вывести на экран список всех аккаунтов.

net users в командной строке

  1. Ввести net localgroup Пользователи <имя удаляемого профиля> /delete . Нажать Enter .

Удаление пользователя через командную строку

Важно! Для выполнения инструкции консоль необходимо запустить от имени админа.

Заключение

Неопытным юзерам для выполнения поставленной задачи рекомендуется вносить изменения в параметры системы, применять «Панель управления» и специальное приложение. Использование консольных команд требует определенных навыков.

Как включить права администратора в windows 10

В операционной системе Windows для упрощения работы и разделения пользователей по статусу, используется система учётных записей. Ключевой учётной записью можно считать аккаунт администратора, ведь именно он дает максимально широкие возможности для работы с ПК. Давайте узнаем, как активировать эту учётную запись и получить права администратора в Windows 10.

Дать права администратора через «Параметры»

Для использования данного метода придётся перейти в раздел параметров, для этого:

  1. На клавиатуре зажмите Win + I
  2. В появившемся окне нужно запустить раздел учётных записей.
    Учётная запись
  3. Оттуда переходим во вкладку семья и другие люди.
  4. Далее, нужно выбрать клавишу с надписью изменения типа вашего аккаунта и выбрать из выпадающего списка строчку администратора.
    Выдать право админа
  5. Перезапустите компьютер, и уже следующая сессия начнётся с аккаунтом администратора. Теперь вы знаете как стать администратором Windows 10. Но это не единственный способ.
Читайте так же:
Что делать, если возникла ошибка Application Load Error 5 0000065434

Как получит права администратора при помощи «Панели управления»

Видеоинструкция

Есть и альтернативный способ получения учётной записи администратора. Для этого нам придётся использовать панель управления Windows.

  1. Откройте поиск и введите «Панель управления»
    Открыть панель управления
  2. Откройте учётные записи
    Учётные записи
  3. Выберите ту учётную запись, которую используете по умолчанию
  4. Здесь нажмите на строчку изменения учётной записи.
    Изменения
  5. Включите права администратора
    Выбор Админа
  6. Перезагрузите ПК и при следующей загрузке ваша учётная запись получит расширенные права администратора.

Как получит права администратора используя утилиту «Локальных пользователей»

Получить права администратора в Windows 10 можно и посредством отдельной утилиты

  1. Зажимаем две кнопку Win + X и выберите «Управление компьютером»
    Управление ПК
  2. Выберите учётную запись администратора, нажимаем ПКМ и нажмите на свойства
    Свойства
  3. Здесь уберите галочку отключения учётной записи.
    Убрать галочку

Как получить права администратора в Windows 10 посредством CMD

  1. Зажмите кнопку Win + R и введите «cmd»
    СМД через выполнить
  2. Введите команду: net useradministrator/active: yes
    Команда net user administrator/active: yes

Команда net user

Пользователь может столкнуться с проблемой. Если на экране появляется уведомление о том, что учётная запись с указанным именем не обнаружена, значит при установке системы кто-то задал другое имя. Используйте команду net user, чтобы получить доступ ко всему перечню учётных записей.

Предположим, что учётная запись с правами администратора называется abc. В этом случае применяем уже использованную ранее команду, но теперь меняем имя. Выглядит это следующим образом:
net user abc/active:yes

Название учетной записи

Готово. По умолчанию аккаунт будет без пароля. Дальше вы узнаете, как сделать пользователя администратором в Windows 10 другими методами.

Видеоинструкция

Доступ к учётным записям с соответствующими правами отсутствует

Если доступа к учётной записи администратора нет, то проблем будет больше. Но и с ними можно справиться. Вам потребуется загрузочный носитель с любой родственной версией операционной системы Windows 10.

  1. Вставьте загрузочную флешку
  2. Перезагрузите ПК.
  3. Нажмите на командную строку. Или использовать другой способ, сразу со стартового экрана.
    Командная строка при запуске ПК
  4. Зажмите две клавиши Shift + F10.
  5. Дальше, используйте ту же команду с приставкой net user название вашей учетной записи /active:yes
    Команда net user administrator/active: yes
    По умолчанию, консоль в этом режиме будет открыта с уже готовыми правами администратора, осталось только активировать учётную запись, способом, описанным выше.

Как включить права администратора в «Групповой политике»

Если вы продвинутый пользователь Windows 10, но не знаете как получить права администратора, можно воспользоваться и этим методом.

  1. Нажмите клавиши Win + R, и введите secpol.msc
    Команда secpol.msc
  2. Откройте «Параметры безопасности»
    Параметры безопасности
  3. Здесь два раза нажмите на «Состояние учётной записи»
    Состояние учетной записи
  4. Выберите «Включить»
    Включить

Изменения будут сохранены, закрываем все предыдущие настройки.

Как сделать себя администратором в windows 10 используя «Редактор реестра»

  1. Нажмите две клавиши Win + R и введите regedit
    Команда regedit
  2. Здесь нужно перейти на вкладку Local Machine.
  3. Отсюда переходим по следующему маршруту:КомпьютерHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem (можете скопировать отсюда и вставить у себя)
    Пройти путь по папкам
  4. Открывается соответствующее окно. Здесь нужно поменять несколько параметров, сделав всё так, как на картинке.

Готово, подтверждаем свой выбор и перезапускаем ПК. Теперь у вас появился аккаунт администратор Windows 10.

Если у вас еще остались вопросы, то вы можете его задать в комментариях и я постараюсь помочь вам его решить.

голоса
Рейтинг статьи
Ссылка на основную публикацию