Как запустить приложение от имени другого пользователя windows 10
Коллеги, как вы знаете, недавно вышел наконец-то RSAT для полной версии Windows10. Я его накатил, элементы управления появились, но! Я сижу в системе под обычным пользователем (админские права только на мою машину). Для внесения изменений в AD всегда использовался отдельный пользователь с правами доменного админа. И раньше, на 7-ке, я запускал элементы RSAT от имени именно этого, превилигированного пользователя.
В 10-ке запустить от имени другого пользователя я могу только .exe - файлы, элементы MMC-консолей - теперь нет. Что делать?
- Вопрос задан более трёх лет назад
- 4962 просмотра
Оценить 3 комментария
Поясните, пожалуйста, подробнее, что значит не могу?
Специально сейчас запустил виртуалку с 10кой в Search Windows набрал Gpedit.msc, нажал правой кнопкой и запустил "As administrator", все работает.
Константин Буланов: Я запускаю именно так, от имени доменного админа, и все работает.
Разобрались. Итак:
После того, как поставил RSAT, в меню "приложения" появились средства администрирования. Для них был доступен только запуск как администратор - что не подходило, так-как требовалось запустить именно из-под определённого пользователя domainadmin@mydomain. С зажатым шифтом в контекстном меню этого пункт отсутствовал. В процессе извращений были найдены следующие решения:
1. Запустить runas с консоли, указав соответствующую msc- оснастку. Работает, неудобно.
2. Скопировать из профиля allusers папку с AdministrativeTools (запустив файловый менеджер как администратор). Работает.
3. Самым простым оказалось внести изменение в реестр: создать dword32 ключ ShowRunasDifferentuserinStart с содержанием 1 в разделе HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Explorer. После ребута появилась желаемая ссылка в выпадающем меню. Делалось по информации отсюда
Правой кнопкой мыши с зажатым шифтом пробовали? в контекстном меню выбрать "запуск от имени другого пользователя".
Любой пользователь Windows может запустить в своей сессии программы от имени другого пользователя (Run As). Благодаря этому можно выполнить скрипт (.bat, .cmd, .vbs, .ps1), исполняемый .exe файл или запустить установку приложения (.msi, .cab) с полномочиями другого, как правило привилегированного, пользователя .
Например, вы можете использовать RunAs для установки программ или запуска MMC оснасток с правами администратора непосредственно в сессии непривилегированного пользователя. Также возможность запуска программ “от имени” может быть полезна, когда приложение настроено под другим пользователем (и соответственно хранит свои настройки в чужом профиле, к которому у данного пользователя нет прав доступа), а его нужно запустить с теми же настройками в сессии другого пользователя.
За возможность запуска программ от имени другого пользователя в Windows отвечает служба Вторичный вход в систему (Secondary Log-on). Если эта служба остановлена все описанные методы runas работать не будут. ВЫ можете проверить, что служба запущена с помощью следующей команды PowerShell:В Windows 10 есть несколько способов запустить программу или процесс от имени другого пользователя.
Запуск программы от имени другого пользователя из Проводника Windows (File Explorer)
Самый простой способ запустить программу из-под другого пользователя – воспользоваться графическим интерфейсом Проводника Windows (File Explorer). Просто найдите нужно приложение (или ярлык), зажмите клавишу Shift и щелкните по нему правой кнопкой мыши. Выберите пункт контекстного меню «Запуск от имени другого пользователя» (Run as different user).
Примечание. Если пункт меню «Запуск от имени другого пользователя» отсутствует, см. следующий раздел.В появившемся окне нужно указать имя и пароль пользователя, под чьей учетной записью нужно запустить программу и нажать кнопку ОК.
Примечание. Если нужно указать доменного пользователя, используется один из следующий форматов имени: UserName@DomainName или DomainName\UserName .Откройте Диспетчер задач и убедитесь, что приложение запущенно под указанным пользователем.
Включить пункт “Запуск от имени другого пользователя” в контекстном меню проводника Windows
Если в контекстном меню проводника Windows отсутствует пункт Запуск от имени другого пользователя (Run as different user), откройте редактор локальных групповых политик (gpedit.msc) и убедитесь, что в разделе Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Пользовательский интерфейс учетных данных (Computer Configuration -> Administrative Templates -> Windows Components -> Credential User Interface) отключена (Не задана) политика Запрашивать достоверный путь для входа в учетную запись (Require trusted path for credential entry)
Команда Runas – запуск программ от имени другого пользователя из командной строки
В Windows есть консольная утилита runas.exe, которая используется для запуска приложений от имени другого пользователя из командной строки. Также команда runas позволяет сохранить пароль пользователя в Windows Credential Manager, чтобы его не приходилось набирать каждый раз.
Откройте командную строку (или окно Выполнить, нажав сочетание клавиш Win+R). Для запуска Блокнота с правами учетной записи admininstrator выполните команду:
runas /user:administrator “C:\Windows\cmd.exe”
Совет. Если имя пользователя содержит пробелы, его нужно взять в кавычки:runas /user:”user test” notepad.exe
В отрывшемся окне появится приглашение «Введите пароль для admin», где нужно набрать пароль и нажать Enter.
Должно открыться ваше приложение. В моем случае это cmd. В заголовке окна указано Запущено от имени CompName\username :
Можно, например, открыть панель управления под другим пользователем:
runas /user:admin control
Для запуска программы из-под доменного пользователя нужно использовать формат имени UserName@DomainName или DomainName\UserName . Например, чтобы с помощью блокнота открыть текстовый файл от имени пользователя домена CORP, используйте команду:
runas /user:corp\server_admin “C:\Windows\notepad.exe C:\tmp\2871997x64.txt”
Иногда нужно запустить программу от имени доменного пользователя с компьютера, который не добавлен в домен AD. В этом случае нужно использовать такую команду (при условии, что в сетевых настройках вашего компьютера указан DNS сервер, который может отрезолвить этот домен):
runas /netonly /user:contoso\aaivanov cmd.exe
Если для запуска программы от другого пользователя не нужно загружать его профиль, используйте параметр /noprofile . При этом приложение запускается намного быстрее, но может вызвать некорректную работу программ, которые хранят данные в профиле пользователя.
Запуск программ от имени другого пользователя без ввода пароля
Вы можете сохранить пароль пользователя, который вы вводите. Для этого используется параметр /savecred.
runas /user:admin /savecred “C:\Windows\notepad.exe”
После указания пароля он сохранится в диспетчере паролей Windows.
При следующем запуске команды runas под этим же пользователем с ключом /savecred Windows автоматически получит сохраненный пароль из Credential Manager, а не будет запрашивать его повторно.
Чтобы вывести список всех пользователей, для которых сохранены пароли, используется команда:
Однако использование параметра /savecred не безопасно, т.к. пользователь, в чьем профиле сохранен чужой пароль может использовать его для запуска любой команды под данными привилегиями, или даже сменить чужой пароль. Кроме того, сохраненные пароли из Credential Manager можно легко украсть, поэтом лучше запретить использование сохраненных паролей (а тем более нельзя сохранять пароль привилегированной административной учетной записи).
Примечание. Кроме того, ключ /savecred не работает в Home редакциях Windows.Ярлык с запуском программы от имени другого пользователя
Можно создать на рабочем столе ярлык, позволяющий запустить программу от имени другого пользователя. Просто создайте новый ярлык, в окне с адресом объекта которого укажите команду runas с нужными параметрами.
При запуске такого ярлыка будет запрашиваться пароль пользователя.
Если дополнительно указать в ярлыке runas параметр /savecred , то пароль будет запрошен только один раз. После этого пароль будет сохранен в Credential Manager и автоматически подставляться при запуске ярлыка от имени другого пользователя без запроса пароля.
Такие ярлыки довольно часто используются для запуска программ, которые требуют прав администратора для запуска. Однако есть более безопасные способы запуска программы без прав администратора, или отключения запроса UAC для определенного приложения.
Запуск оснастки MMC консоли от имени другого пользователя
В некоторых случаях от имени другого пользователя нужно запустить одну из управляющих оснасток Windows. К примеру, если под другим пользователем нужно запустить оснастку Active Directory Users and Computers из набора инструментов администрирования RSAT, можно воспользоваться такой командой.
runas.exe /user:DOMAINname\USER “cmd /c start \”\” mmc %SystemRoot%\system32\dsa.msc”
Аналогичным образом можно запустить любую другую оснастку (главное знать ее имя).
Как добавить пункт “Запуск от имени” для программ в меню Пуск?
По-умолчанию в Windows 10 у элементов меню Пуск (начального экрана) отсутствует возможность запуска приложений от имени другого пользователя. Чтобы добавить в контекстное меню пункт “Запуск от имени другого пользователя”, нужно включить политику Показывать команду «Запуск от имени другого пользователя» при запуске (Show “Run as different user” command onStart) в разделе редактора групповых политик (консоль gpedit.msc) Конфигурация пользователя ->Административные шаблоны -> Меню Пуск и панель задач (User Configuration -> Administrative Templates -> Start Menu and Taskbar).
Либо, если редактор gpedit.msc отсутствует, создать в ветке реестра HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Explorer ключ типа DWORD с именем ShowRunasDifferentuserinStart и значением 1.
New-ItemProperty -Path "HKCU:\Software\Policies\Microsoft\Windows\CurrentVersion\Explorer" -Name ShowRunasDifferentuserinStart -Value 1 -PropertyType DWORD -Force
Осталось обновить групповые политики (gpupdate /force) и убедиться, что у программ в меню Пуск появится новое контекстное меню Дополнительно -> Запуск от имени другого пользователя.
Windows позволяет запускать приложения из вашей учетной записи в качестве другой учетной записи пользователя, если у вас есть учетные данные для другой учетной записи. Эта функция доступна во всех версиях Windows, то есть в Windows 7, 8 и 10. Хотя мы рассматриваем Windows 10 только в этой статье, тем же инструкциям можно следовать и в других версиях. С помощью этой функции вы можете не только запускать приложения с расширением .exe, но и выполнять практически все и любые расширения файлов, которые только сможете найти. Будь то командные файлы для разных установщиков, вы можете запускать их от имени другого пользователя.
Эта функциональность обеспечивается программой RunAs, встроенной в Windows. Для этого широко используется программа RunAs. Доступ к нему можно получить через командную строку вместе с проводником Windows, поэтому, если вы предпочитаете графический пользовательский интерфейс, для вас тоже найдется что-нибудь. Чтобы использовать эту программу, существует служба, которая должна работать в фоновом режиме. Программа RunAs зависит от службы вторичного входа в систему, чтобы иметь возможность запускать различные файлы от имени другого пользователя. Если служба не запущена и остановлена, вы не сможете достичь желаемого результата. Поэтому убедитесь, что служба запущена, посмотрев ее в окне служб Windows.
Оказывается, есть несколько способов запустить приложение от имени другого пользователя. Мы расскажем о различных методах, поэтому вы можете выбрать любой из тех, которые сочтете легкими и быстрыми. С учетом сказанного, давайте рассмотрим это.
Метод 1: с помощью проводника Windows
Один из способов запустить приложение от имени другого пользователя можно получить с помощью проводника Windows. Это один из самых простых способов сделать это, поскольку он совпадает с обычным способом запуска программы. Так же, как вы запускаете программу в своей текущей учетной записи, вы можете запускать ее из другой учетной записи таким же образом. Единственная разница в том, что вам придется выбрать другой вариант вместо двойного щелчка по приложению или выбора «Открыть» в раскрывающемся меню.
Теперь, в некоторых случаях, необходимая опция для запуска программы от имени другого пользователя может быть недоступна вам в раскрывающемся меню. Это из-за локальной политики Windows. В таком случае вам просто нужно будет изменить политику в окне редактора локальной групповой политики, и все будет в порядке. Для этого следуйте инструкциям ниже:
- Прежде всего, мы должны убедиться, что опция «Запускать от имени другого пользователя» видна для вас. Для этого откройте диалоговое окно «Выполнить», нажав клавиши Windows + R.
- Затем в диалоговом окне «Выполнить» введите gpedit.msc и нажмите клавишу Enter.
- Откроется окно редактора локальной групповой политики. Там перейдите по следующему пути:
Конфигурация компьютера> Административные шаблоны> Компоненты Windows> Пользовательский интерфейс с учетными данными
- Затем на правой панели дважды щелкните требуемый надежный путь для политики ввода учетных данных.Политики пользовательского интерфейса учетных данных
- Убедитесь, что для него установлено значение «Не настроено». Нажмите Применить, а затем нажмите ОК.Требовать надежный путь для параметров политики ввода учетных данных
- Как только вы это сделаете, перейдите в каталог, в котором существует приложение, которое вы хотите запустить.
- Щелкните приложение правой кнопкой мыши, удерживая нажатой клавишу Shift, и выберите в раскрывающемся меню параметр «Запуск от имени другого пользователя».Запуск Notepad ++ от имени другого пользователя
- После этого укажите имя пользователя и пароль другой учетной записи и нажмите ОК. Это запустит приложение от имени указанного пользователя.
Метод 2: использование командной строки
- Прежде всего, откройте меню «Пуск», а затем найдите командную строку, чтобы открыть его.
- После запуска окна командной строки введите следующую команду, чтобы запустить программу от имени другого пользователя:
- Перед нажатием клавиши Enter обязательно замените переменные USERNAME, PathToFile и UserPassword их соответствующими значениями.
- Как только вы это сделаете, нажмите клавишу Enter, и программа должна запуститься от имени указанного пользователя.
- Кроме того, вы можете создать командный файл с помощью указанной выше команды, поэтому вам не нужно открывать командную строку и вводить команду каждый раз, когда вы хотите запустить программу от имени другого пользователя.
- Для этого создайте текстовый документ и вставьте указанную выше команду в текстовый документ.
- После этого сохраните документ как пакетный файл, то есть с расширением .bat.
- Теперь каждый раз, когда вы хотите запустить приложение, просто запускайте этот .bat-файл, и он сделает всю работу за вас.
Метод 3: Использование меню Пуск
Наконец, вы также можете использовать пресловутое меню «Пуск» для запуска приложения от имени другого пользователя. Однако для этого вам нужно будет отредактировать политику в окне редактора локальной групповой политики. Как только вы это сделаете, вы сможете увидеть опцию «Запуск от имени другого пользователя», щелкнув правой кнопкой мыши приложение в меню «Пуск». Для этого следуйте инструкциям ниже:
- Прежде всего, откройте редактор локальной групповой политики, выполнив поиск в меню «Пуск».
- После того, как вы откроете редактор, перейдите по следующему пути:
Может возникнуть ситуация, когда необходимо запустить какую-нибудь программу от имени другой учетной записи существующей в компьютере. Причин этого может быть множество, например программа требует для работы прав администратора компьютера или любые другие, главное научиться запускать программы от имени другого пользователя компьютера.
Способов добиться этого существует множество, давайте рассмотрим некоторые штатные возможности операционной системы Windows. Проще всего, если требуется запустить программу от имени администратора, достаточно щелкнуть по запускаемому файлу или ярлыку правой кнопкой мыши и выбрать пункт «Запуск от имени администратора». Ввести пароль и нажать кнопку «OK», программа запуститься от имени администратора.
Чтобы запустить программу от имени другого пользователя системы, нужно с нажатой клавишей Shift на клавиатуре щелкнуть правой кнопкой мыши на нужном файле и выбрать в контекстном меню пункт «Запуск от имени другого пользователя», ввести его логин и пароль.
Есть правда пара особенностей, чтобы запустить программу от имени другой учетной записи, она должна иметь пароль. Учетная записи пользователя имеет имя и может быть указано еще полное имя, работать будет только при указании имени.
Бывает, программа запускается только от имени администратора, а вы пользуетесь обычной учетной записью, тогда можно сократить запуск программы на одно действие, достаточно зайти в свойства ярлыка и на вкладке «Совместимость» отметить галочку «Выполнять эту программу от имени администратора». Теперь двойной клик левой кнопкой мыши по этому ярлыку сразу будет требовать ввода пароля администратора.
Команда Runas для запуска программ от имени другого пользователя
Для часто запускаемых программ от имени другого пользователя, неудобно каждый раз нажимать Shift и щелкать правой кнопкой мыши, проще воспользоваться специальной встроенной командой Runas. Для этого создадим ярлык, который будет запускать нужную программу от имени другого пользователя компьютера. Как создать ярлык можно прочитать здесь. В поле «Объект» напишем следующую команду:
пользователь — учетная запись, от имени которой требуется запустить программу, записывается в виде имя_учетной_записи@имя_компьютера или имя_компьютера\имя_учетной_записи , хотя просто имя_учетной_записи тоже работает.
программа — имя исполняемого файла, который мы хотим запустить. Если исполняемый файл находится не в системных переменных окружения, необходимо указывать полный путь до него.
В случае если имя пользователя или путь программы содержат пробелы, нужно взять их в двойные кавычки по отдельности.
Сохраняем ярлык, теперь при его запуске будет появляться черное окно с просьбой ввести пароль. Внимание, при вводе пароля ничего не происходит, просто вводите его и нажимаете клавишу Enter .
Все хорошо работает, но вводить постоянно пароль быстро надоедает. На этот случай, команда Runas имеет специальный ключ /savecred . В случае его использования, пароль вводится только один раз при первом запуске, он сохраняется в недрах Windows и при последующих запусках подставляется автоматически. Вся команда выглядит следующим образом:
Внимание! Ключ /savecred не работает в Домашних версиях Windows.
Кажется вот оно счастье, однако есть определенные неудобства. Например, какая-либо программа отказывается запускаться в простой учетной записи. Вы запускаете ее вышеописанным способом, все замечательно. Теперь та же ситуация чуть под другим углом. Вы администратор компьютера, а например у вашего ребенка простая учетная запись и игра отказывается запускать под ним. Давать ему пароль администратора вы не намерены, поэтому вы создаете ярлык, прописываете ключ /savecred , вводите пароль первый раз и довольный потираете руки.
Дальнейшие события зависят от степени продвинутости человека, которому вы сделали такой ярлык. Если пользователь чайник в компьютерах, то можете спать спокойно, в противном случае, в один прекрасный день, он может додуматься поменять в ярлыке путь к исполняемому файлу на другой и сможет запускать другие программы от имени администратора.
Так же он получит доступ ко всем файлам на жестком диске компьютера, даже если доступ к ним запрещен его учетной записи, включая папки «Мои документы» других пользователей компьютера. Согласитесь, довольно серьезная дыра в безопасности компьютера при использовании команды Runas с ключом /savecred.
У команды Runas есть ограничения на запуск некоторых системных программ от имени администратора компьютера, в том числе проводника. В Windows XP это обходится использованием ключа /separate: runas /savecred /user:Андрей "explorer.exe /separate"
В более поздних версия операционной системы Windows он не работает, но можно воспользоваться любым другим файловым менеджером и получить доступ к файлам от имени админа.
Выходом в данном случае будет сделать такие настройки безопасности, чтобы нужная программа запускалась от имени простого пользователя или использовать сторонние программы для запуска от имени администратора.
В случае если эти способы не устраивают, можно попытаться максимально затруднить возможность несанкционированного запуска пользователем других программ от имени другого пользователя компьютера. Для этого требуется выполнить несколько дополнительных действий.
Во-первых, и самое главное, не говорить ему, что программа запускается от имени другого пользователя. Правда он может сам узнать об этом в диспетчере задач.
Во-вторых, сделать запуск с помощью пакетного (batch) файла. Открываете текстовый редактор, например блокнот и пишете там строчку, которую писали в поле «Объект» ярлыка. Сохраняете его с расширение .bat. Теперь при запуске этого пакетного файла, точно так же выполнится команда, написанная в нем. Однако этого не достаточно, так как его содержимое можно посмотреть и изменить в простом текстовом редакторе.
Если в имени пользователя или пути к файлу есть русские буквы, то его нужно сохранить в кодировке DOS 866 или в начало bat файла на отдельной строке необходимо вставить chcp 1251.
В-третьих, сделать bat файл не читаемым, чтобы затруднить пользователю анализ, каким образом запускается программа. Для этого сконвертируем наш bat файл в привычный exe. Можно воспользоваться одной из программ конвертеров, например бесплатной программой «Bat To Exe Converter» или любой другой на ваш вкус. Запускаете программу и в поле «Batch file» указываете ваш bat файл. В поле «Save as» куда и под каким именем сохранить результат. Дополнительно для большей конспирации можно на вкладке «Versioninformations» в поле «Icon file» указать значок для нашего будущего exe-шника в формате ico. Остальные параметры можно не трогать. Когда все будет готово, нажимаете кнопку «Compile» и получаете свой exe файл.
Теперь открывать его в текстовом редакторе бесполезно. Копируете его в папку с запускаемой программой, называете как-нибудь похоже на название программы и делаете на него обычный ярлык на рабочем столе.
В-четвертых, последний штрих, выдающий в нем командный файл, это на секунду появляющееся черное окно на рабочем столе. Избавиться от него совсем простым способом не получится, но можно достаточно просто свести его заметность к минимуму. Достаточно в свойствах ярлыка на вкладке «Ярлык» выбрать пункт «Свернутое в значок», теперь только на панели задач будет появляться на мгновение окно командной строки.
Все, теперь если человек от которого вы хотите скрыть админский пароль является чайником или обычным среднестатистическим пользователем можете спать спокойно. Конечно, грамотный человек сможет узнать содержимое созданного нами exe-шника, но по большому счету это не требуется. Достаточно догадаться, что используется команда runas и просто создать свой ярлык для запуска нужной программы так что, несмотря на все ухищрения это поможет только от начинающего пользователя.
Как удалить сохраненный пароль в команде Runas
Сохранив единожды пароль от учетной записи в команде runas, вы можете в дальнейшем запускать программы, не вводя его снова. Однако вам может потребоваться заблокировать возможность запускать программы от имени другой учетной записи пользователя компьютера с использованием сохраненного пароля в runas.
Чтобы удалить сохраненный пароль, выполните «Пуск» ⇒ «Панель управления» ⇒ «Учетные записи пользователей и семейная безопасность» ⇒ «Диспетчер учетных данных».
В разделе «Учетные данные Windows» (интерактивный вход в систему) удаляете не нужные больше записи из хранилища.
Читайте также: