[Iska]

Цитата mitiya:

Но такие вещи приходится иногда делать когда злонамеренные действия мало вероятны, а запустить что-то от админа надо. К примеру у меня вот подключение к Контур Экстерн под пользователем работать не хочет, пришлось вот такой ярлык делать.»

Нельзя так делать. Ибо после сохранения пароля задавать его для данной учётной записи уже не потребуется. Для запуска любого приложения. Например:

Код:

C:\WINDOWS\system32\runas.exe /user:admin@domen.local /savecred "mmc.exe @@@"

Подставьте вместо @@@ — «dsa.msc», «domain.msc» или «dssite.msc» — по желанию.

Цитата mitiya:

это да, но и в случае с паролем в скрипте, из запущенного IE можно будет запустить что угодно. »

Разумеется. Но это меньшая дыра по сравнению с сохранённым паролем. И есть «runas.exe» без «/savecred», есть параметр «Запускать с другими учётными данными» в свойствах ярлыка. Есть, наконец, ShellRunas, если нет возможности править свойства ярлыка, и нет желания связываться с командной строкой.

И, если уж никак невозможно обойтись без того, чтобы не заставлять пользователя вводить пароль, або же никакие ухищрения и пляски с бубном вокруг прав и разрешений на объекты файловой системы и разделы реестра не позволяют запустить какую-либо унаследованную программу, тупо требующую прав Администратора, — есть AdmiLink и другие подобные утилиты.

Но никак не «runas.exe /savecred …»!