[nokogerra]

1. http://swuve.com/?p=82 здесь было указано использовать runas с ключем /netonly, результат положительный, но не понятно как он помог, по статье на технете:
/netonly : Indicates that the user information specified is for remote access only.
что значит "обозначает что введенная пользовательская информация предназначена только для использования с удаленным доступом" - я запускал и локальные оснастки (services.msc) и dsa.msc, что он вообще делает?
К сожалению при добавлении в bat не работает, только руками из командной строки, странно (та же ошибка 740), также не помогает это и с psexec.

2. на технете помимо /netonly вот что советует:
Go to GPEDIT.msc
Select Computer Configuration - Windows Settings - Local Policies - Security Options

There are several here for "User Account Control" (Toward the bottom)

Choose the one with Behavior of the eleveation prompt for Administrators.....

Set it to Prompt for Credentials

но на мою машину действует только дефолтная политика, локальная отфильтровывается, и конфигурация uac никак в дефолтной политике не задавалась.

3. http://raykung12.wordpress.com/2011/...-740-messages/
RunAs /user:YourDomain\UserAccount “CMD /C start /B program.exe” работает и с bat, но с psexec также не помогает.

Спасибо, 1 и 3 варианты вполне могут использоваться как воркэраунд, но так и не понятно из-за чего это произошло, и с psexec осталась неясность.

[nokogerra]

хм, я создавал тему http://forum.oszone.net/thread-264187.html о том, что перестала применяться политика uac по запросу на повышение прав при установке приложений (т.е. запускай сам вручную от имени админа), т.е. у другой политики с заданными параметрами контроля учетных записей более высокий приоритет, но та которая сейчас не работает, работала же несколько дней. а товарищ мне подсказал что при задании параметра в gpo, а потом выставлении "не задано" значения реестров не возвращаются к дефолтным значениям, появилось подозрение что была правлена дефолтная политика, а потом выставлено значение "не задано", можно как то сделать ou, на который не будет действовать дефолтная доменная политика, "блокировать наследование" подойдет? хочу поместить туда машину и потестировать.

[nokogerra]

нашел время, вернулся к своим баранам:
Вынес машину в отдельный ou, закрыл на ou наследование default domain policy, естественно все осталось как есть (runas ошибка 740, т.к. значения реестра к дефолтным не вернулись), начал тестировать с Контролем учетных записей, результаты всех тестов приводить не буду, вот что касается конкретно запуска оснасток через runas:
1. при установке "все администраторы работают в режиме одобрения администратором" в "отключено" runas работает прекрасно (тут ничего удивительного).
2. включил "все администраторы работают в режиме одобрения администратором", далее экспериментировал с
"поведение запроса на повышение прав для администраторов в режиме одобрения администратором", и runas не работает ни в одном режиме, ни просто из cmd, ни из cmd "от имени администратора" (все та же ошибка 740), к тому же не понятно чем отличается например "запрос согласия" от "запрос согласия на безопасном рабочем столе" - чисто визуально никак, а что такое "безопасный рабочий стол" ясного определения не нашел.

НО решилась проблема с psexec - тут просто волшебство блин, даже когда был отключен "все администраторы работают в режиме одобрения администратором" psexec также выдавал "это не является приложением win" и ниже в терминале после отказа писалось "доступ запрещен", я в замешательстве качаю заново этот же пакет pstools, запускаю из него и о ЧУДО - работает, хотя также работал и этот проблемный нынче psexec.

Другие параметры блока "Контроль учетных записей" как я понял после изучения описаний врядли может относится к этой проблеме, но буду экспериментировать дальше, не хотелось вы отключать uac вообще, к тому же не понятно что все таки блокирует политику uac по отмене запроса на повышение прав при установке приложений (про которую я писал ранее), выше нее только 3 gpo (включая default domain policy) и ни в одном не сконфигурирован UAC.