Приветствую. W10, в автозагрузке юзера (с ограниченными правами) лежит батник для запуска софта из папки к которой у него нет прав, "runas /user:blablabla /savecred c:\0\1.bat", ну не суть. Все работает, но как на батник повесить права ТОЛЬКО НА ЗАПУСК, (стоят галки на чтение/выполнение и чтение (ставится автоматом)) без возможности юзером посмотреть содержимое? (ПКМ > изменить). Если блочу папку автозагрузки от юзера, естественно батник не стартует.
Буду рад любому совету, заранее благодарю!

для запуска софта из папки »
без возможности юзером посмотреть содержимое? »
я лично ничего не понял. Заблокируйте от него папку и дайте ярлык на запуск файла - в чем проблема?

Ладно, реально сумбурно, хочу чтоб юзер не знал куда ведет батник в автозагрузке, реально ли закрыть доступ к папке автозагрузки, но чтобы батник или ярлык от туда запускался ?

san1kan, о чём Вы?! После runas /savecred о каких-либо «ограничениях» говорить смысла даже не имеет.

После runas /savecred о каких-либо «ограничениях» говорить смысла даже не имеет. »
В автозагрузке батник запускает софт с диска, к папке с софтом доступа у юзера нет, есть доступ к просмотру папки автозагрузка (но не может в нее записывать и изменять в ней файлы, но может получить содержимое батника через ПКМ > изменить), и доступ на чтение и запуск батника в автозагрузке, после запуска батника с командой runas /uses:админскаяучетка /savecred, дополнительного доступа у юзера ни к папке с софтом, ни куда либо еще не появляется, соответственно ограничения сохранились. Какие по-вашему ограничения обходит юзер используя в данном случае runas для запуска exe через bat в папке без доступа?
PS: при завершении процесса командная строка с админскими правами закрывается.

san1kan,
еще раз - почему именно батник почему не ярлык, пусть даже на батник (а он спрятан) или почему батник, а не exe или ссылка или кнопка в браузере. Вариантов еще можно накидать только насколько я вижу это все проблема где-то в другом, что-то вы мутите и не хотите раскрывать карты, поэтому и условие запутанное и туманное.

san1kan, после Вашего:
runas /user:blablabla /savecred »
у пользователя есть возможность исполнить ту же команду runas.exe с любым приложением (а отнюдь не только для заданного Вами в конкретной команде), получив полные права и привилегии учётной записи blablabla. Дальнейшие действия ограничены только фантазией пользователя.

Update: Изложение в деталях: Почему не рекомендуется использовать RunAs (http://admilink.narod.ru/admilink.htm#WhyNotRunAs).

Господа, вы почему какую-то подоплеку то ищите?))) На уроках математики никто не спрашивал учителя: "Зачем Вова, отдал Толе 2 яблока из своих 5?" Чего бы там я не мутил, я хочу сделать, то что изложил, так сказать есть задача, есть данные, необходимо с этими данными найти решение, из того чем богат или скорее беден мой опыт, у меня не получается именно то, что мне нужно.

почему именно батник » сейчас работает через батник, но очень костыльно.
почему не ярлык » ярлык в свойствах явно указывает на путь, который я не хочу светить
а не exe или ссылка или кнопка в браузере » exe пожалуй интересный вариант, рассмотрю. не ссылка и не браузер, т.к. необходима автозагрузка.

у пользователя есть возможность исполнить ту же команду runas.exe с любым приложением » спасибо за пояснение, но я это постарался предусмотреть, и на моем примере, при запущенном приложении от имени админской учетки (runas .. /savecred), я запускаю еще 1 cmd под юзером, используя runas запускаю любое приложение, запрашивает пароль админской учетки.

В принципе, я думаю без костылей exe решит задачу. Пока работает с костылями.

Всем спасибо за дискуссию и советы.

san1kan, Вы не поняли. Если под неким пользователем Вы сохранили учётные данные другого пользователя, то этот некий пользователь всегда сможет ими воспользоваться без знания чужого пароля. До тех пор, пока Вы не удалите эти учётные данные из хранилища, либо не поменяете пароль этого другого пользователя (и тогда сохранённый перестанет быть валидным). То есть, раз и навсегда — никаких runas /savecred для запуска приложений от имени каких-либо административных учётных записей не должно быть в принципе. Никогда. Это просто открытая настежь дверь.

Вы не поняли. Если под неким пользователем Вы сохранили учётные данные другого пользователя, то этот некий пользователь всегда сможет ими воспользоваться без знания чужого пароля »
Я понял) и прочитал статью про runas и admirun, в моем случае, вопреки логике, юзер не может снова воспользоваться запуском от учетки админа без ввода пароля, похоже следствие костылей, но тем не менее.

В целом, полностью согласен с теорией "открытой настежь двери", прислушаюсь. Буду от этого уходить, чтобы не вошло в привычку)) Еще раз благодарю за ЦУ!

в моем случае, вопреки логике, юзер не может снова воспользоваться запуском от учетки админа без ввода пароля, »
Почему не может? Win-R и далее.

Почему не может? Win-R и далее. »
Ну я же говорю, я постарался предусмотреть, только что перепроверил еще раз, win-r > runas /user:admin cmd > введите пароль... Пробовал после того, как runas отработает через батник в автозагрузке.

Ну я же говорю, я постарался предусмотреть, только что перепроверил еще раз, win-r > runas /user:admin cmd > введите пароль... »
А теперь попробуйте то же самое, только добавив к runas параметр /savecred.

А теперь попробуйте то же самое, только добавив к runas параметр /savecred. »
Блин, вот это я облажался))) Ну теперь все точки там, где им место, я думал этот параметр работает иначе. Век живи, век учись! Еще раз благодарю за уделенное внимание и помощь! exe я так понимаю решит мою задачу на раз-два.

san1kan, под учёткой пользователя создайте в Планировщике заданий задание с запуском вашего процесса от имени другого пользователя

теперь пользователь может стартовать задание, но не может изменить его
в скрипте/ярлыке можно стартовать его командой schtasks /Run /TN "имя задания"