Савенко Владимир, Гундоров Сергей -
Утилита ExecAs предназначена для запуска любых программ с правами, отличными от прав текущего пользователя. Работает под Windows Vista, 7, 8, 10, XP, NT, 2000, 2003...
Список программ и их параметры запуска (логин, пароли и пр.) программа хранит в зашифрованном виде в файле FList.tps . Варианты вызова утилиты: 1) ExecAs /? - Вызов справки по программе 2) ExecAs /s - Окно задания параметров запускаемых программ:
Логин - логин пользователя, от имени которого будет запускаться программа
Пароль - пароль пользователя
Программа - имя запускаемой программы включая полный путь (выбирается)
Параметры - список параметров командной строки запуска программы
Номер - номер запускаемой программы (указывать не обязательно если запускается только одна программа)
3) ExecAs - без параметров: Запуск указанной программы в случае если подразумевалось запускать одну программу 4) ExecAs NN , где NN - Номер запускаемой программы: запуск одной из нескольких запомненных программ
Окно настройки, которое появляется после вызова с параметром /s:
В левом верхнем углу окна находятся кнопки "Добавить ", "Изменить " и "Удалить ", предназначенные для редактирования списка запускаемых программ. При помощи кнопки "Запустить " можно проверить как запускается выбранная в списке программа под установленной учетной записью.
Редактирование записи о запускаемой программы производится при помощи следующего окна:
Утилиту ExecAs
можно применять для запуска программы (система управления компьютерным клубом) с правами администратора из под ограниченной учетной записи. Это позволяет запретить операторам доступ к файлам базы данных программы Locker и вообще к запуску любых нежелательных программ кроме Locker-a.
Идеология запуска программы Locker следующая (применимо только для Windows NT, 2000, XP файловая система NTFS):
1. На компьютере оператора создается учетная запись (например "Locker
"), не обязательно с административными правами, но с неизвестным для оператора паролем.
2. На папку с Локером и вложенные в нее файлы и папки убираем доступ для учетной записи операторов (подразумевается, что они работают под ограниченной учетной записью) и разрешаем доступ на чтение/запись для вновь созданной. Все права устанавливаются на файловой системе при помощи аплета Explorer"а "свойства папки / безопасность". Имеется в виду, что используется файловая система NTFS, где это возможно. Разумеется, нужно убрать доступ для группы в которую входят операторы.
3. Если файлы базы данных Локера хранятся на удаленном компьютере, соответственно устанавливаем сетевые права на общий ресурс только для созданной нами учетной записи "Locker".
4. Запускаем программу ExecAs с ключом /s указываем логин и пароль новой учетной записи, путь к программе Locker и рабочий каталог, сохраняем.
5. Кладем ярлык на программу ExecAs на рабочий стол операторам. В свойствах ярлыка должен обязательно быть указан и правильный путь к программе ExecAs, иначе она не найдет свой файл настроек.
Рекомендуется в программе Locker удалить все пункты меню, отвечающих за запуск программ, имеющих возможность доступа к файловой системе. Дело в том что все эти программы будут наследовать права Locker-a. Также в Locker-е нужно удалить подкаталог.\Locker\Help и файлы Locker.url и PSoft.url, чтобы из Locker-a нельзя было запустить интернет браузер.
Скачать бесплатно утилиту ExecAs
с сайта
Утилита ExecAs
распространяется как freeware. Замечания и предложения можно адресовать в PSoft авторам:
Савенко Владимир - Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.
Гундоров Сергей - Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.
Возможно вам будет интересна другая программа, решающая ту же задачу: AdmiLink . На сайте этой программы имеются также полезные рекомендации по защите компьютеров.
В работе любого системного администратора иногда встаёт задача запуска программы от имени другого пользователя. В *NIX системах с этим всё просто. А как с этим делом в операционных системах семейства Windows?
Начиная с Windows 2000 в этой ОС появилась новая служба "RunAs ". С её помощью провести запуск программы от имени другой учетной записи довольно легко и любой, кто хоть чуть интересовался этим, мог самостоятельно разобраться что к чему: нажимаешь Shift (в Windows 2000 ) + щелкаешь мышью по программе или ярлыку и выбираешь пункт меню "Запуск от имени... ", указываешь нужные логин и пароль и - вуаля - программа запускается с правами другого пользователя. Просто и удобно. Для особых ценителей есть и консольный вариант программы:
C:\>runas
Использование команды RUNAS:
/user:<имя пользователя> <программа>
RUNAS [ ]
/smartcard <программа>
/noprofile Не загружать профиль пользователя. Это приводит к более
быстрой загрузке приложения, но может стать причиной
неправильной работы некоторых приложений./profile Загружать профиль пользователя.
Этот параметр установлен по умолчанию./env Использовать текущие параметры среды.
/netonly Учетные данные предназначены только для удаленного
доступа./savecred Использовать учетные данные, сохраненные пользователем.
Этот параметр не доступен в Windows XP Home Edition
и будет проигнорирован./smartcard Для указания учетных данных используется
смарт-карта./user <имя пользователя> должно быть в виде USER@DOMAIN или DOMAIN\USER
<программа> Командная строка для EXE. См. примеры ниже.
Примеры:
> runas /profile /user:mymachine\administrator cmd
> runas /profile /env /user:mydomain\admin "mmc %windir%\system32\dsa.msc"
> runas /env /user:[email protected] "notepad \"Мой файл.txt\""Примечание: вводите пароль пользователя только тогда, когда он запрашивается.
Примечание: формат записи USER@DOMAIN несовместим с параметром /netonly.
Примечание: параметр /profile несовместим с параметром /netonly.
Но вот вам другая задача: как сделать так, чтобы программа всегда запускалась от некоего определенного имени? Как видно из листинга, такого параметра, как "пароль", нет. RunAs всегда запускается интерактивно , что вполне объяснимо с точки зрения безопасности.
Можно попробовать поизголяться с командной строкой и перенаправлением вывода, типа:
c:\>echo passwd | runas /user:MyUser CoolProgram.exe
но у меня в Windows XP SP2 этот фокус не прошел - программа запускалась от моего имени.
Но выход, конечно, есть. И имя ему CPAU . При помощи этой замечательной проги можно значительно расширить функционал RunAs.
Command line tool for starting process in alternate security context. Basically this is a runas replacement. Also allows you to create job files and encode the id, password, and command line in a file so it can be used by normal users.
или по-русски в моём переводе:
Утилита командной строки для запуска процесса с другим контекстом безопасности. В основном это замена runas. Также позволяет создавать командные файлы и шифровать идентификатор, пароль и команду запуска в файле, также может быть использована обычными пользователями.
Вот например, чтобы запустить CoolProgram.exe от имени пользователя MyUser с паролем passwd, нужно:
cpau -u MyUser -p passwd -ex "C:\Path\to\CoolProgram.exe" -lwop
Другие примеры можно найти, запустив справку:
В общем, утилита из разряда "admin tools". Рекомендую.
Бывают ситуации, когда требуется запустить какую-либо программу от имени другого пользователя. Не важно, почему это понадобилось, главное – как это сделать быстро, тихо, и без шума. В этом нам поможет как обычная команда меню, так и специализированная команда runas, о чем и рассказывается в этой статье.
Самый простой способ запустить программу от имени другого пользователя – это стандартное контекстное меню, но с небольшой хитростью.
А именно, нам необходимо щелкнуть на файле программы правой кнопкой мыши, но с предварительной зажатой клавишей
Теперь достаточно ввести имя и пароль искомого пользователя, после чего щелкнуть на кнопке ОК.
Внимание : учтите, что запустить программу с другой учетной записи можно лишь в том случае, если эта учетная запись имеет пароль. В противном случае, ничего не выйдет.
Предположим, нам необходимо регулярно запускать программу от имени другого пользователя. Каждый раз зажимать
Нажмите и удерживайте нажатой клавишу
Теперь щелкните на ярлыке правой кнопкой мыши и выберите команду Свойства . Нам нужно поле Объект , в котором следует ввести вот такую команду:
Runas /user:учетная_запись программа
Пример ниже:
Как видно из скриншота, мы задействуем команду runas. Именно она используется для запуска программ с правами другой учетной записи. Вместо фразы “учетная_запись” (см. пример над скриншотом) следует ввести имя другой учетной записи, с правами которой программа и будет запускаться. Наконец, вместо “программа” следует ввести имя программы либо команды для запуска.
Внимание : если имя пользователя из двух слов с пробелом между ними, то в команде имя нужно закрыть кавычками. Например, имя пользователя пушистик без кавычек либо “супер пушистик ” – соответственно, с кавычками.
В том случае, если программа для запуска не находится в системной папке, то путь к ней также нужно указать в кавычках. Системные папки – это папки Windows, Program Files, Documents and Settings.
А вот какая нужная команда для использования учетной записи администратора, для чего к значению “user” следует указать один из двух вариантов:
/user:учетная_запись_админа@имя_компьютера либо /user:имя_компьютераучетная_запись_админа
У команды runas есть и другие интересные параметры, не поленитесь их узнать, выполнив в командной строке следующую команду:
Как видите, ничего сложного – просто как пряник. Или бывают сложные пряники? Хороший вопрос.
0 likes