для включения поддержки awe необходимо запустить программу с правами администратора
[Конспект админа] Что делать, если программа хочет прав администратора, а вы нет
К сожалению, в работе сисадмина нет-нет да и приходится разрешать пользователям запускать всякий софт с админскими правами. Чаще всего это какие-нибудь странные китайские программы для работы с оборудованием. Но бывают и другие ситуации вроде небезызвестного bnk.exe.
Выдавать пользователю права администратора, чтобы решить проблему быстро и просто, противоречит нормам инфобезопасности. Можно, конечно, дать ему отдельный компьютер и поместить в изолированную сеть, но — это дорого и вообще…
Попробуем разобрать решения, которые позволят и программу запустить, и безопасника с финансистом не обозлить.
Ну, и зачем тебе права?
Программа может запрашивать права администратора условно в двух случаях:
С первым случаем все понятно: берем в руки замечательную программу Марка Руссиновича Process Monitor, смотрим, что происходит, и куда программа пытается залезть:
Куда это лезет этот 7Zip?
И по результатам исследования выдаем права пользователю на нужный каталог или ветку реестра.
Сложнее, если случай клинический, и так просто выдать права не получится: например, программа требует сильного вмешательства в работу системы вроде установки драйверов. Тогда придется придумывать всякий колхоз, про который речь пойдет в последнем разделе статьи. Пока подробнее освещу второй случай — когда стоит флажок.
Если сильно упростить, то в специальном манифесте программы (к слову, установщики — это тоже программы) могут быть три варианта запуска:
Если разработчик твердо решил требовать права администратора, даже если они не нужны, то обойти это можно малой кровью.
Нет, не будет тебе прав
В системе Windows, начиная с Vista, появилась служба UAC, которая помимо прочего отвечает за запросы программ на повышение прав. Не все программы «переваривали» работу с этой службой. Поэтому в системе был доработан механизм совместимости приложений, позволяющий прямо задать программе ее поведение — запрашивать права или нет.
Простейшим вариантом работы с этим механизмом будет использование переменных среды.
Рассмотрим пример с редактором реестра. Действительно, запуская regedit.exe под администратором, мы получаем запрос на повышение прав:
Запрос повышение прав.
Если же мы запустим редактор реестра из консоли, предварительно поменяв значение переменной среды __COMPAT_LAYER на:
То запроса UAC не будет, как и административных прав у приложения:
Бесправный редактор реестра.
Этим можно пользоваться, запуская программы батниками или добавляя контекстное меню через реестр. Подробнее читайте в материале How to Run Program without Admin Privileges and to Bypass UAC Prompt?
С конкретным примером такой неприятной программы можно столкнуться при загрузке классификаторов банков из 1С с сайта РБК по ссылке http://cbrates.rbc.ru/bnk/bnk.exe. Если обновление классификаторов отдается на откуп самим пользователям и нет возможности поменять загрузку на bnk.zip (а современные 1С это поддерживают), то приходится придумывать костыли. Ведь bnk.exe — самораспаковывающийся архив, в котором зачем-то прописано «Требовать права администратора».
Поскольку ярлычками тут обойтись не выйдет, ведь 1С сама скачивает файл и запускает его, то придется применять тяжелую артиллерию — Microsoft Application Compatibility Toolkit.
Документация к ПО, как обычно, доступна на официальном сайте, загрузить можно как часть Windows Assessment and Deployment Kit. Сам процесс решения проблемы несложен.
Необходимо поставить утилиту, запустить Compatibility Administrator и создать Application Fix в новой или имеющейся базе данных:
Создаем исправление приложения.
Имя и издатель значения не имеют. Имеет значение только расположение файла — тут нужно указать реальный проблемный bnk.exe (где он будет лежать на самом деле — не важно).
Далее необходимо в списке исправлений выбрать RunAsInvoker.
Выбираем нужный фикс.
Все остальное оставляем по умолчанию, сохраняем базу данных. Должно получиться примерно так:
Созданный фикс для bnk.exe.
После этого достаточно будет установить базу данных, щелкнув по ней правой кнопкой и выбрав Install. Теперь пользователи смогут сами грузить классификаторы банков.
Все становится хуже, если приложению действительно нужны права админа. Тогда добавление прав на системные объекты и исправления не помогают.
Ну ладно, держи права
Казалось бы, самым очевидным решением для запуска нашего странного ПО выглядит использование встроенной утилиты Runas. Документация доступна на сайте Microsoft.
Ну, посмотрим, что из этого выйдет.
Действительно, RunAs запустит 7zip с правами учетной записи «Администратор», спросит пароль и запомнит его. Потом ярлык с такой строкой запуска будет запускать 7zip под Администратором без вопросов.
)
Есть один существенный недостаток: пароль запоминается на уровне системы, и теперь, используя команду Runas, можно будет запускать абсолютно любую программу. Это мало чем отличается от прямого предоставления админских прав сотрудникам, так что использовать это решение не стоит.
Зато runas может быть полезен, когда сотрудник знает пароль администратора, но работает под ограниченной учетной записью (по идее так должен делать каждый системный администратор).
Если мы начали с консольных команд, то перейдем к более высокоуровневым скриптам. Интересное решение было предложено в статье «Планктонная Windows», где упомянутый выше Runas обвязывался js-скриптом и пропускался через обфускатор. У решения есть и очевидный минус — скрипт можно раскодировать.
Чуть более интересным методом в 2к20 являются возможности PowerShell и его работа с паролями. Подробнее можно почитать в материале «Защита и шифрование паролей в скриптах PowerShell».
Если вкратце: в PS работа с паролями производится через специальный тип данных SecureString и объект PSCredential. Например, можно ввести пароль интерактивно:
Затем сохранить пароль в зашифрованном виде в файл:
И теперь использовать этот файл для неинтерактивной работы:
К сожалению, файл этот можно использовать только на том ПК, на котором его создали. Чтобы этого избежать, можно сделать отдельный ключ шифрования. Например так:
Теперь при помощи этого ключа пароль можно зашифровать:
В свое время я использовал для решения подобных задач свой любимый AutoIt, где компилировал скрипт с командой RunAs и радовался… До тех пор, пока не узнал, что AutoIt (особенно старых версий) декомпилируется на раз-два.
Другим интересным вариантом может быть применение назначенных заданий — если создать назначенное задание от админского аккаунта, пользователю для работы будет достаточно его запуска. К сожалению, для интерактивной работы с приложением это решение не подходит.
На свете существует несколько сторонних решений, призванных решить задачу. Остановлюсь на парочке из них.
Пожалуй, одна из самых известных утилит — это AdmiLink, разработанная Алексеем Курякиным для нужд ядерной физики. Программа и принципы ее работы описаны на официальном сайте. Я, как обычно, позволю себе более краткое описание.
Программа состоит из трех модулей. AdmiLink — это графическое окно, где можно создать ярлык на нужное приложение (в принципе, в ряде случаев достаточно только его).
Основное окно программы.
Помимо непосредственно создания ярлыка (и да, запрос UAC тоже можно подавлять), есть и дополнительные функции вроде калькулятора, терминала и удобных настроек политик безопасности. Со всеми возможностями программы читателю предлагается разобраться самостоятельно.
Второй модуль называется AdmiRun и представляет из себя консольную утилиту. Она умеет запускать приложения от имени администратора, получив в качестве одного из параметров строку, созданную через AdmiLink. В строке шифруется имя пользователя и пароль, при этом участвует и путь к программе.
На первый взгляд все выглядит безопасно, но, к сожалению, код программ закрыт, и насколько можно доверять разработчику — вопрос.
Третий модуль — AdmiLaunch — отвечает за запуск окон в разных режимах, и он используется для запуска AdmiRun, если создавать ярлык через AdmiLink.
В целом, решение проверено годами и поколениями отечественных системных администраторов. Но добавлю и альтернативу из-за рубежа.
RunAsRob — довольно интересное ПО за авторством немецкого разработчика Оливера Хессинга (Oliver Hessing). В отличие от AdmiLink, ПО устанавливается как служба, запускаемая под привилегированной учетной записью (администратора или системы). Как следствие, подготовленный ярлык обращается к службе, которая уже в свою очередь запускает заданное ПО.
Особенность программы в том, что есть возможность авторизовать не только программы, но и папки (включая сетевые). А хранение настроек в реестре позволило добавить шаблоны групповых политик, примерно как мы писали в статье «Погружение в шаблоны и приручение GPO Windows». Благодаря этому при необходимости настройки можно применять прямо из Active Directory.
Основное окно программы.
Программа богато документирована на официальном сайте.
У этого автора есть еще и программа RunAsSpc, позволяющая запускать исполняемые файлы под правами другого пользователя, передавая учетные данные через зашифрованный файл.
Мне остается только добавить, что это ПО бесплатно только для личного использования.
Но учтите, что из программы, запущенной под административными правами, можно натворить бед. Например, запустить привилегированную командную консоль через диалог Файл — Открыть.
Запускаем cmd.exe прямо из редактора реестра.
Немного защититься помогут политики запрета контекстного меню и прочих диспетчеров задач, часть из которых может настроить AdmiLink. Но в любом случае следует быть осторожным.
А вам приходилось городить странные костыли? Предлагаю делиться историями в комментариях.
26 Oct 2019 в 07:48
26 Oct 2019 в 10:04 #26
я его добавил же в пост выше
Как его запускать? Запустил от имени администратора и там «Для включения поддержки AWE необходимо запустить программу с правами Администратора!».
Запускаю просто а там в окошке пишет, что программа требует запуск от имени администратора.
И как задействовать все 32 гига, а не только 16?
26 Oct 2019 в 10:11 #27
Как его запускать? Запустил от имени администратора и там «Для включения поддержки AWE необходимо запустить программу с правами Администратора!».
Запускаю просто а там в окошке пишет, что программа требует запуск от имени администратора.
Нажми «настроить и выйти». Выбери конфиг файл. Дальше запускай
И как задействовать все 32 гига, а не только 16?
ну по идее он видит все 32. Почему 16 то?
26 Oct 2019 в 10:13 #28
Нажми «настроить и выйти». Выбери конфиг файл. Дальше запускай
ну по идее он видит все 32. Почему 16 то?
На пост коде пишет 40, что это значит? раньше все время было АА когда комб был запущен.
26 Oct 2019 в 10:14 #29
26 Oct 2019 в 10:16 #30
26 Oct 2019 в 10:16 #31
Нажми «настроить и выйти». Выбери конфиг файл. Дальше запускай
ну по идее он видит все 32. Почему 16 то?
Да нет, в диспетчере только
26 Oct 2019 в 10:18 #32
26 Oct 2019 в 10:21 #33
26 Oct 2019 в 10:27 #34
Нажми «настроить и выйти». Выбери конфиг файл. Дальше запускай
ну по идее он видит все 32. Почему 16 то?
Запустил тест, выбрал настроить и выйти, запускаю опять тест и он грузит в диспетчере на 16 гб, а само окошко теста просто не видно нигде.
26 Oct 2019 в 10:34 #35
Запустил тест, выбрал настроить и выйти, запускаю опять тест и он грузит в диспетчере на 16 гб, а само окошко теста просто не видно нигде.
а. это, возможно, из-за того, что у меня оно на левом монике было.
На пост коде пишет 40, что это значит? раньше все время было АА когда комб был запущен.
Да нет, в диспетчере только
ну тут я хз. Это конфиг самого 1usmus’а (создателя калькулятора). Причем третья его ревизия
26 Oct 2019 в 11:05 #36
а. это, возможно, из-за того, что у меня оно на левом монике было.
ну тут я хз. Это конфиг самого 1usmus’а (создателя калькулятора). Причем третья его ревизия
Короче я поставил memtest86 из под биоса который. Тестирую.
Кстати, я как вбил все с первого скрина, так у меня комп стал долго грузится, точнее биос, иногда вообще врубается комп и выруьается
4 раза и только потом стартует. Что это за прикол?
Кстсти, а этот memtest86 все 32 гига проверяет? Ничего настраивать не надо?
26 Oct 2019 в 11:08 #37
ну это самый оптимальный вариант. Просто не всем хочется грузиться с флешки и тд. В Винде оно как-то уютнее
Кстати, я как вбил все с первого скрина, так у меня комп стал долго грузится, точнее биос, иногда вообще врубается комп и выруьается
4 раза и только потом стартует. Что это за прикол?
26 Oct 2019 в 11:13 #38
ну это самый оптимальный вариант. Просто не всем хочется грузиться с флешки и тд. В Винде оно как-то уютнее
26 Oct 2019 в 12:04 #39
Часть параметров находится в Digi VRM. Часть еще там в одном разделе (которые VTT DDR и тд), название забыл.
26 Oct 2019 в 12:14 #40
Часть параметров находится в Digi VRM. Часть еще там в одном разделе (которые VTT DDR и тд), название забыл.
Так вот, можно ли подключать два куллера в один разъём на матери? Не опасно? Не сгорит ли что нибудь?
Хочу просто 2х120мм подключить к одному разъёму. И 2х140мм подключить к другому одному разъёму.
26 Oct 2019 в 12:16 #41
Так вот, можно ли подключать два куллера в один разъём на матери? Не опасно? Не сгорит ли что нибудь?
Хочу просто 2х120мм подключить к одному разъёму. И 2х140мм подключить к другому одному разъёму.
26 Oct 2019 в 12:18 #42
Часть параметров находится в Digi VRM. Часть еще там в одном разделе (которые VTT DDR и тд), название забыл.
2 винта (Aer P140: 12V DC, 0.35A, 4.2W)
2 винта (Aer F120: 12V DC, 0.18A, 2.16W)
Сколько там один разъём тянет?
26 Oct 2019 в 12:22 #43
2 винта (Aer P140: 12V DC, 0.35A, 4.2W)
2 винта (Aer F120: 12V DC, 0.18A, 2.16W)
Сколько там один разъём тянет?
у кого-то 0.6А, у кого-то 0.9А
вот тебе наглядно о моих словах:
26 Oct 2019 в 12:25 #44
у кого-то 0.6А, у кого-то 0.9А
26 Oct 2019 в 12:27 #45
26 Oct 2019 в 13:48 #46
Я правильно понимаю, если подключать 2 куллера к одному разъёму, то RMP будет +- одинаковая?
И вот я подбираю напряжение к процессору, какой программой тестить стабильность при N-напряжении?
Как запустить программу от имени (с правами) администратора в Windows
Иногда, для решения определенных задач пользователю персонального компьютера требуется открыть программу от имени администратора. Чаще всего к этому подводит какая-либо программа, которая выдает сообщение, что нет прав администратора для совершения определенных действий.
В большинстве случаев, входя в свою учетной записью Windows после запуска компьютера, мы даже не подозреваем, что имеем возможность работать под правами администратора. К примеру, ваша учетная запись имеет название Home, при включении компьютера вы автоматически или после ввода пароля входите в вашу учетная запись. Попав в свою учетку, вы можете осуществить запуск программ или командной строки с правами администратора.
Запуск программ от имени администратора
Запустить программу от имени администратора в windows 7/8/10 не составляет труда, для этого требуется кликнуть правой кнопкой мыши (ПКМ) по ярлыку приложения (например, на рабочем столе) и выбрать Запуск от имени администратора.
Если вам необходимо открыть программу с правами администратора в Пуске Windows 7, то необходимо выполнить следующие шаги: Пуск – Все программы – кликаете по необходимой программе правой кнопкой, нажимаете Запуск от имени администратора.
В Windows 10 действия в Пуске немного отличаются. Пуск – в списке программ кликаете ПКМ по нужному вам приложению, выбираете Дополнительно – Запуск от имени администратора.
Командная строка от имени администратора
Запустить командную строку от имени администратора можно применяя те же способы, что описаны выше. Пуск – Служебные-Windows – Командная строка (ПКМ) – Дополнительно – Запуск от имени администратора.
Запуск командной строки с правами администратора можно инициировать еще одним простым способом. В Windows 10 в поиске возле Пуск введите cmd, по появившейся иконке командной строки кликаем ПКМ, выбираем Запуск от имени администратора.
Еще больше методов запуска cmd описывал в статье – Как открыть командную строку в Windows 10.
Как получить права администратора в Windows
Есть программы, которые постоянно приходится открывать под правами администратора, выше описанный метод считаю не совсем удобным. Чтобы не проделывать одно и тоже действие при открытии программы, рекомендую прописать права один раз.
Для этого кликаем по иконке программы ПКМ, выбираем Свойства.
Ну вот, пожалуй, и все, вы можете совершать запуск с правами администратора. Если остались вопросы, пишите в комментариях к статье.
Айтишник
Вячеслав. Специалист по ремонту ноутбуков и компьютеров, настройке сетей и оргтехники, установке программного обеспечения и его наладке. Опыт работы в профессиональной сфере 9 лет.
Как запустить программу или игру от имени Администратора в Windows 10
Запуск программного обеспечения от имени администратора – важный момент, о котором необходимо знать пользователю операционной системы Windows 10. Некоторые утилиты не работают без предоставления прав, поскольку им необходимо общаться с системой. Существует несколько способов открыть приложение в таком режиме.
Способы запуска приложения с расширенными правами
Для начала следует отметить, что следует избегать запуска неизвестных программ от имени администратора, поскольку они получают возможность изменять все в системе. Перед открытием рекомендуется проверить софт или игру на наличие вирусов.
Предоставлять права можно только традиционному настольному ПО (Win32), а приложения из магазина Microsoft Store в этом случае работать не будут. Чтобы запустить программу или игру от имени администратора, необходимо, чтобы учетная запись имела соответствующие права.
Контекстное меню
Самый простой способ запуска программы или игры от имени администратора – это вызов контекстного меню. Для открытия софта с правами щелкните по исполняемому файлу или ярлыку правой клавишей мышки. В появившемся списке выберите соответствующий пункт. В следующем окне подтвердите действие.
Меню «Пуск»
Запустить приложение или игру из меню «Пуск» также возможно с правами администратора. Для этого найдите в списке установленного софта нужное, кликните по нему правой кнопкой мыши. В появившемся меню наведите курсор на пункт «Дополнительно», затем выберите открытие от имени администратора.
Системная поисковая строка
Еще один способ – это использование системной поисковой строки. Щелкните по соответствующему значку на панели задач внизу, затем введите название программы или игры. Вверху отобразится список результатов поиска. Кликните правой клавиши мыши по иконку приложения, затем по пункту «Запуск от имени администратора».
Панель быстрого доступа
Если иконка приложения находится на панели быстрого доступа Windows 10, то для его запуска с правами администратора нажмите на нее правой кнопкой мыши, затем то же самое сделайте со значком в появившемся меню. Откроется дополнительный список параметров, где есть функция, открывающая доступ к системным изменениям.
Диспетчер задач
Система Windows 10 предусматривает еще один способ запуска приложений с расширенными правами – через диспетчер задач:
1. Кликните правой клавишей мыши по нижней панели, чтобы вызвать контекстное меню и перейти в диспетчер задач.
2. Выберите раздел «Файл». Развернется небольшое меню, где нужно нажать на пункт «Запустить новую задачу».
3. В строке введите название исполняемого файла или программы, затем поставьте галочку напротив пункта «Создать задачу с правами администратора».
4. Нажмите на клавишу Enter или кнопку «ОК» для подтверждения.
При нажатии на кнопку «Обзор» в окне создания задачи откроется проводник системы, через который можно найти нужное приложение или игру. Программа будет запущена, что отобразится в диспетчере задач на вкладке «Процессы».
Командная строка
Удобный инструмент ОС Windows позволяет управлять системой без графического интерфейса. Иными словами, это текстовый способ взаимодействия с ПК. Чтобы запустить приложение через командную строку, следуйте инструкции:
1. Через системный поиск отыщите приложение «Командная строка» и запустите его от имени администратора.
2. Для начала необходимо перейти в ту директорию, где расположена утилита. Например, введите команду cd c:\Program Files\CCleaner. Кликните по клавише Enter.
3. Для запуска утилиты пропишите команду CCleaner.exe, затем снова нажмите на Enter.
Поскольку командная строка запущена уже с расширенными правами, то и другие программы, открытее через нее, будут в этом же режиме.
Как активировать постоянный запуск с повышенными правами
Система позволяет сделать так, чтобы приложение всегда открывалось с повышенными правами без подтверждения или вызова контекстного меню для выбора способа запуска. Сделать это возможно через свойства софта:
Обратите внимание, что некоторые программы имеют расширенные права по умолчанию. Рядом с иконками таких приложений отображается щита желто-синего цвета. Это значит, что дополнительные манипуляции не требуются.
Для запуска или установки некоторых приложений нужны расширенные права администратора, чтобы напрямую взаимодействовать с системой. По умолчанию большинство приложений не имеют доступа к изменению данных ОС, но существует несколько способов, которые позволяют открыть софт в таком режиме.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.