Windows Vista Explorer via Runas… ou Melhor maneira de administrador de domínio trabalhar em uma conta limitada

3

Uma coisa que me incomoda por um bom tempo em administrar um domínio do Windows é tentar trabalhar principalmente a partir de uma conta de usuário limitada. Muito do que faço na minha estação de trabalho diariamente não exige direitos de administrador, por isso prefiro ser executado como um usuário limitado por motivos de segurança. O problema, claro, são todas as vezes em que tenho que fazer algo como administrador de domínio.

Com o Windows Vista, a "troca rápida de usuário" funcionou para máquinas em um domínio, mas tenho alguns problemas: 1) A alternância é lenta, 2) Cerca de uma em cinco vezes, alternar contas de usuário fará com que o Vista esqueço minhas configurações de exibição ao ponto em que elas não podem ser restauradas sem reiniciar. Coisas divertidas.

Frequentemente, só preciso de um navegador de arquivos para executar privilégios elevados e parece que não há como executar uma instância do Explorer dessa maneira (via Runas). Parece também que a navegação de arquivos via IE agora está apenas executando um processo do Explorer e, portanto, é limitada da mesma maneira.

Eu tenho rodado o FreeCommander via Sysinternals ShellRunas para esse propósito, e funciona. Não é uma boa experiência.

Eu mataria por algo mais próximo do sudo. Estou completamente ausente de algo óbvio?

    
por Boden 22.10.2009 / 17:35

7 respostas

2

Você está fazendo a coisa certa executando como uma conta limitada.

Eu resolvo esse problema fazendo o rdesktop para outro sistema (geralmente um servidor), e fazendo login como administrador do domínio.

A troca rápida de usuário é um bom método, mas se causar dores de cabeça, então ...

    
por 22.10.2009 / 18:25
2

Você pode executar o Explorer em outro contexto de usuário, mas é necessário primeiro matar o Explorer existente para fazê-lo e é realmente muito feio. Se você realmente quiser tentar, abra um prompt de comando com "RunAs" e sua conta de administrador de domínio. A partir desse prompt de comando, use o "Gerenciador de Tarefas" para eliminar o "Explorer.exe" existente e inicie um novo. Você obterá um "Explorer.exe" elevado, sendo executado como a conta de administrador do domínio.

É realmente um truque feio, então eu não faria isso na prática.

    
por 22.10.2009 / 18:48
2

Eu me deparo com isso o tempo todo.

Se você quer fazer uma troca de permissões rápida / simples ou copiar / renomear / deletar, apenas faça uma runas no bloco de notas ou no mmc e use a caixa de diálogo de abertura de arquivos para fazer as alterações.

texto alternativo http://i.msdn.microsoft.com/ ms646960.OpenDialogBoxXP (en-us, VS.85) .png

Você pode navegar para qualquer pasta que desejar, clicar com o botão direito do mouse para propriedades / permissões, copiar e colar. Uma coisa a notar é que a visualização não será atualizada imediatamente, pressione F5 após renomear / mover um arquivo, etc.

    
por 22.10.2009 / 19:55
1

Eu tenho um script que lançaria runas e outra coisa (por exemplo, MMC) elevada.

Set objShell = CreateObject("Shell.Application")
app = wscript.arguments(0)
args = ""
for i = 1 to (WScript.Arguments.length - 1)
   args = args + wscript.arguments(i)
next
objShell.ShellExecute app, args, "", "runas"

Se você odeia a solicitação constante de creds, talvez usando algo que pode levar creds em vez de runas ... mas, em seguida, armazenar creds em uma exposição de script mais talvez corroer o benefício de executar como conta baixa.

    
por 22.10.2009 / 18:34
0

Eu costumava fazer este runas e o Internet Explorer no Windows XP. Você pode então procurar arquivos dentro da janela do IE. Eu não tive a necessidade de tentar isso no Windows Vista embora.

    
por 22.10.2009 / 18:59
0

se a área de trabalho remota estiver habilitada, você poderá usar o RDP para se conectar ao host local com credenciais alternativas. o problema é que isso carrega toda a sessão do usuário e muitas coisas desnecessárias por usar apenas um programa.

EDIT: eu não tentei isso com o Vista (ou XP). Eu estou usando o servidor 2008 como minha estação de trabalho e funciona muito bem com isso.

    
por 22.10.2009 / 19:01
0

Faça suas runas sobre isso:

explorer.exe / separado

O separado é um sinalizador não documentado, mas ele é lançado em uma janela de processo separada (o AKA não verificará se há um shell do explorer existente antes do lançamento)

    
por 22.10.2009 / 21:27