Descobrimos que, se o perfil runas não estava totalmente carregado (ou seja, as runas que o UID não tinha feito o logon completo na máquina anteriormente) não funcionaria corretamente ...
CBB & LTSB 1607.
Portanto, tenho um cliente que precisa executar um software com privilégios mais altos, mas o usuário trabalha com uma conta limitada e não estou disposto a fornecer a senha por vários motivos.
Eu estava procurando uma maneira de permitir que o programa fosse iniciado sem solicitar a senha do administrador, e eu corri para o runas .
Este é o comando que estou usando:
runas /user:Administrator /savecred "Path\To\Software.exe"
O que acontece é que ele pede senha pela primeira vez, mas nada acontece depois de inserir a senha. O programa simplesmente não seria lançado, não importa quantas vezes eu execute o comando.
O caminho está correto e a conta de administrador está bem, ainda sem resultados.
Também verifiquei que dois serviços estão em execução (não lembro seus nomes, mas estão relacionados à execução de aplicativos com privilégios diferentes).
Vocês têm uma solução para isso funcionar?
Descobrimos que, se o perfil runas não estava totalmente carregado (ou seja, as runas que o UID não tinha feito o logon completo na máquina anteriormente) não funcionaria corretamente ...
CBB & LTSB 1607.
Se o Controle de Conta de Usuário (UAC) estiver habilitado no seu computador (espero que a resposta seja "sim"), o comando "runas" não eleva seus privilégios. Ou seja, ele executa o aplicativo, mas não com privilégios administrativos.
No entanto, tente este comando do Windows PowerShell:
Start-Process "Path\To\Software.exe" -Verb "runas"
Naturalmente, você precisa inserir este comando no Windows PowerShell em vez do Prompt de Comando.
Dito isto, esta definitivamente não é uma solução para o seu problema. A política da Microsoft é não fornecer ou negar qualquer e qualquer meio que incentive o uso de privilégios administrativos. (Esta política entrou em vigor após o fiasco de segurança de 2003.) A coisa mais próxima que a Microsoft oferece é uma compatibilidade de aplicativos. Kit de ferramentas que permite ignorar o manifesto do aplicativo e executar com privilégios limitados. Isso faz o truque para os aplicativos que são estúpidos o suficiente para não verificar se eles obtiveram o que eles pediram em seus manifestos.
É claro que, de tempos em tempos, eu noto soluções de segurança de terceiros que permitem o que você deseja. Exceto, devido à impopularidade, eles desaparecem rapidamente.
Usar um programa para armazenar credenciais vai ser ruim, não importa como você olhe para ele. Se o usuário é capaz de obter qualquer parte das credenciais armazenadas, elas são capazes de descriptografar a senha, (DICA: elas poderão acessá-las ou o programa não funcionaria), a menos que o programa use alguma tokenização. . Mesmo no caso de tokenização, é possível executar outros comandos como o usuário administrativo se eles "passarem o hash" como eles dizem no campo de segurança, (tokens não são criptografados / descriptografados, tanto quanto eu posso dizer, então eles foram separados de propósito e, mesmo que sejam / foram, um usuário pode descriptografá-los).
Sua melhor aposta, uma vez que você não deseja conceder acesso a essa pessoa, será conceder acesso específico aos arquivos e pastas que o programa está tentando usar. Mais detalhes são necessários sobre o programa ou arquivos / pastas que estão sendo acessados antes que uma boa recomendação possa ser fornecida. Se você conceder acesso a eles usando a guia Security na caixa de propriedades de uma pasta, eles poderão executar o programa sem privilégios de administrador. Se não, então o programa não foi feito muito bem. Como alternativa, você pode usar uma máquina virtual ou ter outra área de trabalho na qual o usuário possa se conectar para que possa acessar apenas isso, e não o sistema em que está trabalhando.
Se quiser ver quais arquivos e pastas um usuário está usando no Windows, use a ferramenta Process Monitor . Essa ferramenta listará uma quantidade insana de informações que todos os processos estão fazendo na máquina (você pode filtrar os dados). Arquivos, pastas, encadeamentos, redes, registro e eventos de perfil são todos monitorados pela ferramenta. É da SysInternals e parte da Sysinternals Suite localizada aqui na TechNet . Eu não tenho conexão com eles, mas eu usei suas ferramentas por muitos anos.
A única coisa que descobri que parece causar o que você está descrevendo é se a conta de administrador não tiver uma senha definida , então, ela não será lançada dessa maneira, conta tem que ter uma senha e você tem que entrar, você não pode simplesmente deixar sem senha e apertar enter quando ela pede.
Quando eu vejo esse comportamento, ele dá um erro sobre restrições de conta, mas não mostraria o erro por tempo suficiente para um ser humano ler se você estivesse rodando de um atalho, mas manteria o erro se estivesse executando um comando janela de prompt ou do powershell.
É claro que também verifique se a conta de administrador está ativada (não é por padrão) e se você (ou seu departamento de TI se é um computador da empresa, não seu computador) não adicionou nenhuma restrição baseada em GPO ou outras restrições para a conta de administrador, sendo capaz de iniciar as coisas. (Como você disse que a conta é boa, duvido que essa seja a causa no seu caso, mas incluindo no caso de outras pessoas precisarem saber)
Tags windows-10 administrator runas