Запуск процесса из папки без доступа
 

Приветствую. W10, в автозагрузке юзера (с ограниченными правами) лежит батник для запуска софта из папки к которой у него нет прав, "runas /user:blablabla /savecred c:\0\1.bat", ну не суть. Все работает, но как на батник повесить права ТОЛЬКО НА ЗАПУСК, (стоят галки на чтение/выполнение и чтение (ставится автоматом)) без возможности юзером посмотреть содержимое? (ПКМ > изменить). Если блочу папку автозагрузки от юзера, естественно батник не стартует.
Буду рад любому совету, заранее благодарю!

я лично ничего не понял. Заблокируйте от него папку и дайте ярлык на запуск файла - в чем проблема?

Ладно, реально сумбурно, хочу чтоб юзер не знал куда ведет батник в автозагрузке, реально ли закрыть доступ к папке автозагрузки, но чтобы батник или ярлык от туда запускался ?

В автозагрузке батник запускает софт с диска, к папке с софтом доступа у юзера нет, есть доступ к просмотру папки автозагрузка (но не может в нее записывать и изменять в ней файлы, но может получить содержимое батника через ПКМ > изменить), и доступ на чтение и запуск батника в автозагрузке, после запуска батника с командой runas /uses:админскаяучетка /savecred, дополнительного доступа у юзера ни к папке с софтом, ни куда либо еще не появляется, соответственно ограничения сохранились. Какие по-вашему ограничения обходит юзер используя в данном случае runas для запуска exe через bat в папке без доступа?
PS: при завершении процесса командная строка с админскими правами закрывается.

san1kan,
еще раз - почему именно батник почему не ярлык, пусть даже на батник (а он спрятан) или почему батник, а не exe или ссылка или кнопка в браузере. Вариантов еще можно накидать только насколько я вижу это все проблема где-то в другом, что-то вы мутите и не хотите раскрывать карты, поэтому и условие запутанное и туманное.

Господа, вы почему какую-то подоплеку то ищите?))) На уроках математики никто не спрашивал учителя: "Зачем Вова, отдал Толе 2 яблока из своих 5?" Чего бы там я не мутил, я хочу сделать, то что изложил, так сказать есть задача, есть данные, необходимо с этими данными найти решение, из того чем богат или скорее беден мой опыт, у меня не получается именно то, что мне нужно.

сейчас работает через батник, но очень костыльно.
ярлык в свойствах явно указывает на путь, который я не хочу светить
exe пожалуй интересный вариант, рассмотрю. не ссылка и не браузер, т.к. необходима автозагрузка.

спасибо за пояснение, но я это постарался предусмотреть, и на моем примере, при запущенном приложении от имени админской учетки (runas .. /savecred), я запускаю еще 1 cmd под юзером, используя runas запускаю любое приложение, запрашивает пароль админской учетки.

В принципе, я думаю без костылей exe решит задачу. Пока работает с костылями.

Всем спасибо за дискуссию и советы.

Я понял) и прочитал статью про runas и admirun, в моем случае, вопреки логике, юзер не может снова воспользоваться запуском от учетки админа без ввода пароля, похоже следствие костылей, но тем не менее.

В целом, полностью согласен с теорией "открытой настежь двери", прислушаюсь. Буду от этого уходить, чтобы не вошло в привычку)) Еще раз благодарю за ЦУ!

Ну я же говорю, я постарался предусмотреть, только что перепроверил еще раз, win-r > runas /user:admin cmd > введите пароль... Пробовал после того, как runas отработает через батник в автозагрузке.

Блин, вот это я облажался))) Ну теперь все точки там, где им место, я думал этот параметр работает иначе. Век живи, век учись! Еще раз благодарю за уделенное внимание и помощь! exe я так понимаю решит мою задачу на раз-два.

san1kan, под учёткой пользователя создайте в Планировщике заданий задание с запуском вашего процесса от имени другого пользователя

теперь пользователь может стартовать задание, но не может изменить его
в скрипте/ярлыке можно стартовать его командой schtasks /Run /TN "имя задания"