Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » Как повысить юзера до администратора из командной строки?

Ответить
Настройки темы
Как повысить юзера до администратора из командной строки?

Новый участник


Сообщения: 26
Благодарности: 0

Профиль | Отправить PM | Цитировать


Идея в следующем:
есть сетка из 20 компьютеров, в каждом из которых права сотрудников ограничены до группы Пользователи + применено достаточно много твиков реестра для того, чтобы обрезать сотрудникам доступ к ненужным с точки зрения админа функциям системы. Но иногда мне надо прийти, сесть за этот компютер, повысить пользователя до админа, разблокировать все недоступные функции (типа просмотра вкладки Безопасность, скрытых апплетов панели управления и т.д.), сделать свою работу по обслуживанию системы, после чего вернуть все обратно... Хочется как-то автоматизировать этот процесс. Хотя-бы через батник. Как его написать, представляю.... но не знаю команды (если она есть конечно) по выполнению первого шага - т.е. повышения прав пользователя до прав админа. Запускать эту команду хочу через runas с учеткой админа

Отправлено: 11:47, 28-03-2011

 

Новый участник


Сообщения: 26
Благодарности: 0

Профиль | Отправить PM | Цитировать


так, нужную переменную окружения отыскал, так-что вопрос снимается. Но второй - в силе!

Отправлено: 14:10, 29-03-2011 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для zero55

Ветеран


Сообщения: 723
Благодарности: 128

Профиль | Сайт | Отправить PM | Цитировать


а воспользоваться
runas /user:Administartor cmd.exe
никак?

оттуда запускаете все что считаете нужным... с правами админа.

Отправлено: 20:12, 29-03-2011 | #12


Новый участник


Сообщения: 26
Благодарности: 0

Профиль | Отправить PM | Цитировать


Такой вариант не прокатит, я писал уже почему - если я запускаю консоль от администратора, и из этой консоли импортирую рег-файл (regedit /s enableRule.reg), то при импорте все записи, которые начинаются с HKEY_CURRENT_USER, будут записаны в в раздел учетки, от кототорой запустилась консоль (т.е. администратора, а не юзера, из под которого вызвали runas). Если интересно, вот небольшой пример:

;Затереть обои рабочего стола
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"=""

Если сохранишь этот код в рег-файл и запустишь из под юзера через консоль, вызванную по runas /user:Администратор, обои затрутся именно у администратора.

Последний раз редактировалось monkkey, 31-03-2011 в 10:02.


Отправлено: 16:58, 30-03-2011 | #13


Аватара для zero55

Ветеран


Сообщения: 723
Благодарности: 128

Профиль | Сайт | Отправить PM | Цитировать


Прослушал...
У вас рабочая группа или домен?
в первом случае пользователю создается обязательный профиль и тиражирование настроек производится через его изменение.
во втором случае все реестровые настроки замечательно устанавливаются средствами GPO.

Я все же убежден в том что вариант - повысить до админа неправильный, вполне достаточно добавить его в "Опытных пользователей".

Отправлено: 23:15, 30-03-2011 | #14


Ветеран


Contributor


Сообщения: 23788
Благодарности: 6934

Профиль | Отправить PM | Цитировать


Цитата suvolod:
Такой вариант не прокатит, я писал уже почему - если я запускаю консоль от администратора, и из этой консоли импортирую рег-файл (regedit /s enableRule.reg), то при импорте все записи, которые начинаются с HKEY_CURRENT_USER, будут записаны в в раздел учетки, от кототорой запустилась консоль »
Что мешает параллельно запустить ещё одну консоль — уже от имени того обычного пользователя, под чьим сеансом сидите? Панель управления и прочие радости Проводника получаются запуском из административной консоли «explorer.exe /separate» (что уже не раз рассматривалось здесь).

Отправлено: 02:14, 31-03-2011 | #15


Новый участник


Сообщения: 26
Благодарности: 0

Профиль | Отправить PM | Цитировать


Iska, работает твой вариант. Если запустить из под учетки юзера консоль админа, разблокировать юзера, а затем из этой -же админской консоли запустить новую консоль юзера, то, несмотря на то, что текущий сеанс юзера до завершения сеанса работает со старыми (ограниченными) правами, новая консоль уже работает с правами администратора.

Но вылез косяк в другом месте - не могу собрать все это в единый батник, т.к в таком варианте получается путаница с путями.
А именно - при запуске консоли через [runas /user Логин cmd] текущей директорией в новой консоли будет C:\windows\system32. Соответственно, до исходной папки с рег-файлом уже не добраться. Как-то можно это обойти? Чтобы, если я запускю [runas .... cmd], например, из папки "C:\Documents and Settings\vova\Рабочий стол\Новая папка", новая консоль открылась в этой же папке?

Отправлено: 12:36, 03-04-2011 | #16


Аватара для zero55

Ветеран


Сообщения: 723
Благодарности: 128

Профиль | Сайт | Отправить PM | Цитировать


cmd /c "cd куда_нибудь_в_другую_папку; следующая_команда"

Отправлено: 17:12, 03-04-2011 | #17


Ветеран


Contributor


Сообщения: 23788
Благодарности: 6934

Профиль | Отправить PM | Цитировать


suvolod, я вовсе не имел в виду поднятие прав обычного пользователя до администратора, а как раз наоборот: я не вижу в этом ни малейшей необходимости.

Отправлено: 18:51, 03-04-2011 | #18


Новый участник


Сообщения: 26
Благодарности: 0

Профиль | Отправить PM | Цитировать


Добил я все-таки свою задумку. Кому интересно, вот окончательное решение:
Доп. консолей можно вообще не запускать, но чтобы все заработало без перезагрузки, надо из под текущего юзера запустить runas /user:текущий юзер regedit off.reg. Кому непонятно вот пример как заблокировать функционал у юзера:

Пусть у нас есть reg-файл, делающий недоступной панель задач, вызываемую через Ctrl+Alt+Del

Код: Выделить весь код
Windows Registry Editor Version 5.00
;запретить запуск Диспетчера задач Windows
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000001
Из под учетки юзера (с правами пользователя) такой рег-файл в реест добавить не получиться, вылетит ошибка. Выход - пишем батник такого содержания:

Код: Выделить весь код
SET name=%USERNAME%
cls 
runas /user:Администратор "net localgroup "Администраторы" %name% /add"
runas /user:%name% "regedit \"%~dp0off.reg\""
runas /user:%name% "net localgroup "Администраторы" %name% /del"
pause
Этот батник ложим в одну папку с рег-файлом off.reg и запускаем на выполнение. Что он делает

Первый runas - дает текущему юзеру права админа
Второй runas - выполняет наш рег. файл от текущего юзера, но уже с админскими правами
Третий runas - текущий юзер сам себя выкидывает из администраторов.

На всякий случай - второй и третий runas-ы нужны именно потому, что мы хотим сделать все одним батником, без перезагрузки пользователя после добавления его в админы! Если попытаться выполнить это без runas-ов, то ничего не получиться, т.к. система будет выполнять команды от имени текущего сеанса, в котором пользователь до сих пор сидит с правами только группы "Пользователи".

Кто-то может возразить, что вводить три раза пароли - это не кашерно, но в качестве альтеративы у нас только только тот-же тройной ввод паролей (вход админом для повышения прав пользователя, вход пользоватлем для применения рег. файла + удаления в конце себя из администраторов, и вход/выход пользователем, чтобы применить пониженые права ), но с перезагрузкой после каждого действия. Если у кого-то есть вариант модернизации батника - будет интересно услышать. Например, интересно, можно или нет запрятать пароль админа в сам батник и подставлять его runas автоматом. Ключ /savecred использовать не хочу, т.к. в этом случае пароль админа остается на компе пользователя, пусть и в зашифрованном виде... а папку с батником все-равно буду таскать на флешке, так что даже при сохранении пароля (если это возможно, конечно) в батнике никто его не увидит.

Последний раз редактировалось suvolod, 03-04-2011 в 21:58.


Отправлено: 21:12, 03-04-2011 | #19


Аватара для zero55

Ветеран


Сообщения: 723
Благодарности: 128

Профиль | Сайт | Отправить PM | Цитировать


я предвижу чем это закончиться.
после подобных махинаций ничег не стоит запустить скрипт для создания нового администратора, слить все хэши, подобрать пароли и в завершении поиметь всю сеть.

таким образом вам тема для размышления.
1. участники группы администраторы у вас имеют право удаленного входа?
2. участники группы администраторы имеют доступ по сети?

PS я все же склоняюсь к тому что нормальное разделение полномочий все же более правильное и безопасное решение чем предложенное вами.

Отправлено: 22:29, 03-04-2011 | #20



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » Как повысить юзера до администратора из командной строки?

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Система - Как изменить компоненты Windows из командной строки? dimakolyada Microsoft Windows 7 7 20-03-2011 17:20
Доступ - Права администратора из командной строки Vygov Microsoft Windows 2000/XP 4 14-10-2010 12:42
Службы - [решено] Как с командной строки отключить службу? sergey1234567 Microsoft Windows 2000/XP 9 10-02-2009 20:16
Как открыть документ из командной строки? aldersubscribe Microsoft Windows 2000/XP 5 04-10-2005 07:02
win98 - как зашарить папку из командной строки? G Cooper Microsoft Windows 95/98/Me 13 29-03-2003 13:21




 
Переход