Как windows обойти запрет системного администратора

Содержание

• Устанавливаем программу без прав администратора
  • Способ 1: Выдача прав на папку с программой
  • Способ 2: Запуск программы с учетной записи обычного пользователя
  • Способ 3: Использование портативной версии программы
• Вопросы и ответы

Для установки некоторого программного обеспечения требуется наличие прав администратора. Кроме этого и сам администратор может ставить ограничение на установку различного софта. В случае когда требуется выполнить инсталляцию, а разрешения на нее нет, предлагаем воспользоваться несколькими простыми методами, описанными ниже.

Устанавливаем программу без прав администратора

В сети интернет присутствует множество различного ПО, позволяющего обходить защиту и выполнять инсталляцию программы под видом обычного пользователя. Мы не рекомендуем их использовать особенно на рабочих компьютерах, так как это может нести за собой серьезные последствия. Мы же представим безопасные способы установки. Давайте рассмотрим их подробнее.

Способ 1: Выдача прав на папку с программой

Чаще всего права администратора софту требуются в том случае, когда будут проводиться действия с файлами в своей папке, например, на системном разделе жесткого диска. Владелец может предоставить полные права другим юзерам на определенные папки, что позволит выполнять дальнейшую установку под логином обычного пользователя. Делается это следующим образом:

1. Войдите в систему через учетную запись администратора. Подробнее о том, как это сделать в Виндовс 7 читайте в нашей статье по ссылке ниже.

Подробнее: Как получить права администратора в Windows 7

2. Перейдите к папке, в которую в дальнейшем будут устанавливаться все программы. Нажмите на нее правой кнопкой мыши и выберите «Свойства».



3. Откройте вкладку «Безопасность» и под списком нажмите на «Изменить».



4. Левой кнопкой мыши выберите необходимую группу или пользователя для предоставления прав. Поставьте галочку «Разрешить» напротив строки «Полный доступ». Примените изменения, нажав на соответствующую кнопку.

Теперь во время установки программы вам потребуется указать папку, к которой предоставили полный доступ, и весь процесс должен пройти успешно.

Способ 2: Запуск программы с учетной записи обычного пользователя

В тех случаях когда нет возможности попросить администратора предоставить права доступа, рекомендуем воспользоваться встроенным в Windows решением. С помощью утилиты через командную строку осуществляются все действия. От вас требуется только следовать инструкции:

1. Откройте «Выполнить» нажатием горячей клавиши Win + R. Введите в строку поиска cmd и нажмите «ОК»



2. В открывшемся окне введите команду, описанную ниже, где User_Name – имя пользователя, а Program_Name – название необходимой программы, и нажмите Enter.

runas /user:User_Nameadministrator Program_Name.exe



3. Иногда может потребоваться ввод пароля учетной записи. Напишите его и нажмите Enter, после чего останется только дождаться запуска файла и выполнить установку.

Способ 3: Использование портативной версии программы

Некоторое ПО имеет портативную версию, не требующую установки. Вам будет достаточно скачать ее с официального сайта разработчика и запустить. Выполнить это можно очень просто:

1. Перейдите на официальный сайт необходимой программы и откройте страницу загрузки.
2. Начните загрузку файла с подписью «Portable».





3. Откройте скачанный файл через папку загрузок или сразу из браузера.

Вы можете перекинуть файл софта на любое съемное устройство хранения информации и запускать его на разных компьютерах без прав администратора.

Сегодня мы рассмотрели несколько простых способов как установить и использовать различные программы без прав администратора. Все они не сложные, но требуют выполнения определенных действий. Мы же рекомендуем для установки софта просто войти в систему с учетной записи администратора, если это доступно. Подробнее об этом читайте в нашей статье по ссылке ниже.

Читайте также: Используем учетную запись Администратора в Windows

Еще статьи по данной теме:

Помогла ли Вам статья?

Как снять ограничения администратора

Если вы приобрели компьютер с идущей в комплекте Windows 7, у вас может возникнуть ситуация, когда права обычного пользователя (то есть вас) ограничены в возможностях. Это делается для того, чтобы неопытный покупатель не вывел из строя операционную систему. Однако, есть способы обойти эти ограничения.

Инструкция

Попробуйте запустить программу, которая требует у вас прав администратора, от имени администратора. Для этого нажмите правой кнопкой мыши по файлу и выберите пункт «Запустить от имени администратора». Таким образом можно запустить практически любой файл, который находится на жестком диске вашего персонального компьютера.

Попробуйте изменить свои права с ограниченных до администраторских. Для этого откройте Панель управления, раздел Учетные записи пользователей и семейная безопасность. Найдите свою учетную запись и проверьте, доступен ли пункт «Изменение типа своей учетной записи» и воспользуйтесь им. Если такого пункта нет, то выполните следующие шаги.

Отправьте компьютер на перезагрузку. После стартового экрана материнской платы нажмите F8 на клавиатуре, чтобы вывести варианты загрузки операционной системы. Выберите в списке пункт Безопасный режим и нажмите ввод. Подождите, пока система загрузит основные компоненты и выведет окно приветствия на экран. На компьютерах с предустановленной Windows на учетную запись администратора часто пароль попросту не задан, и вы легко войдете в систему с его правами. Теперь у вас есть возможность проделать операции из пункта 2.

Если пароль на администратора установлен, есть специальные программы, которые помогут его скинуть. Программа ERD Commander предоставляет такую возможность. Возьмите диск с программой ERD Commander и загрузите компьютер с диска. В утилите LockSmith сервисного диска можно удалить пароли любого пользователя системы.

Если все эти методы вам не помогли, и в операционной системе вы ничего не можете сделать без прав администратора, остается последнее решение — переустановить систему. На этот раз вы выделите себе нужные права и настроите Windows именно так, как вам нужно.

Войти на сайт

или

Забыли пароль?
Еще не зарегистрированы?

Пытаетесь установить новое программное обеспечение, драйвер или программу, но не можете это сделать? Ваша операционная система запросила разрешение администратора и заставила вас приостановить установку? Если в вопросах указано ваше точное положение, отпустите свое беспокойство. Вы можете быть обычным пользователем ПК, и для установки могут потребоваться права администратора. Эта статья поможет вам установить программное обеспечение или программу без прав администратора в Windows 10.

Как установить программное обеспечение без прав администратора в Windows 10

Прежде чем знакомиться с методами, которые могут быть приняты для решения вопроса установки без прав администратора в Windows 10, важно иметь четкое представление о терминах: драйверы, программы и программное обеспечение. Этот раздел пытается дать вам понимание того же самого.

• Простыми словами, программа представляет собой набор инструкций, написанных для ПК.
• Программное обеспечение представляет собой компиляцию программ.
• Драйвер — это программа, которая взаимодействует между программным обеспечением и ПК.

Итак, все три взаимосвязаны в компьютерных терминах.

Почему для установки требуются права администратора?

Несмотря на то, Контроль учетных записей пользователей или подсказки UAC на каждом этапе установки разочаровывают, есть причина для предоставления прав администратора для установки любого программного обеспечения. Причины, по которым для установки требуются права администратора, перечислены ниже:

• В целях безопасности: если для установки программного обеспечения нет прав администратора, любой может установить вредоносное ПО на ваш компьютер. Чтобы предотвратить это действие, требуются права администратора.

• Время принятия решения: поскольку подсказки UAC продолжают появляться, у администратора есть время, необходимое для принятия решения об установке конкретного программного обеспечения. Он может пересмотреть свое решение при установке.

• Безопасность для ПК. Иногда программы могут нарушить работу вашего ПК. Чтобы остановить это, необходимы права администратора, чтобы установленное программное обеспечение не нарушало работу ПК.

Ниже перечислены способы установки программного обеспечения без прав администратора. Эти способы целесообразно реализовывать только в том случае, если вы доверяете источнику установочного файла.

Способ 1: использовать установочный файл и команду в Блокноте

В этом методе мы скопируем установочный файл и скомандуем ПК обойти команду «Запуск от имени администратора». Приглашение контроля учетных записей или UAC пропускается, что упрощает процесс установки. Следуйте приведенным ниже инструкциям, чтобы установить программное обеспечение на свой компьютер.

Примечание. В пояснительных целях рассматривается программное обеспечение VLC Media Player, а файлы помещаются в новую папку в папке «Рабочий стол». Кроме того, этот метод может или может работать в вашей системе.

1. Щелкните правой кнопкой мыши на рабочем столе и выберите «Создать». Затем щелкните Папка.

2. Скопируйте установочный файл VLC Media Player в новую папку на рабочем столе.

Примечание. Файл с расширением .exe используется для установки программного обеспечения.

3. В «Новой папке» щелкните правой кнопкой мыши пустую область и выберите «Создать» в раскрывающемся списке.

4. В следующем меню выберите Текстовый документ.

5. Откройте этот файл Блокнота и введите следующую команду.

set _COMPAT_LAYER=RunAsInvoker
Start vlc-3.0.8-win32

Примечание. Здесь вы должны заменить vlc-3.0.8-win32 на имя установщика программного обеспечения.

6. Нажмите одновременно клавиши Ctrl + Shift + S, чтобы открыть диалоговое окно «Сохранить как».

7. Сохраните файл в формате software_installer_name.bat с расширением файла, то есть vlc-3.0.8-win32.bat.

8. Выберите Все файлы в раскрывающемся меню Тип документа файл. Нажмите на кнопку Сохранить, чтобы сохранить файл.

9. Дважды щелкните файл vlc-3.0.8-win32.bat, чтобы установить программное обеспечение.

Способ 2: установить пароль для администратора

Этот метод позволяет вам установить пароль исключительно для администратора, чтобы вы могли обходить подсказки UAC и работать в качестве администратора.

Примечание. Этот метод может привести к потере данных на ПК, поэтому рекомендуется использовать его после резервного копирования всех данных ПК.

1. Откройте диалоговое окно «Выполнить», одновременно нажав клавиши Windows + R.

2. Введите в строке compmgmt.msc и нажмите OK, чтобы открыть окно «Управление компьютером».

3. Разверните папку «Локальные пользователи и группы».

4. Щелкните папку «Пользователи».

5. Щелкните правой кнопкой мыши «Администратор» и выберите «Установить пароль…».

6. Нажмите «Приступить» и следуйте инструкциям мастера Windows.

Способ 3: сделайте свою учетную запись пользователя учетной записью администратора

Вы узнаете, как сделать существующую учетную запись пользователя учетной записью администратора, чтобы вам не приходилось пропускать подсказки UAC. Это позволит вам установить программу, и этот метод отвечает, как установить программу без прав администратора Windows 10. Для этого выполните на своем ПК шаги, указанные ниже.

1. Нажмите одновременно клавиши Windows + R, чтобы открыть диалоговое окно «Выполнить».

2. Введите netplwiz и нажмите OK.

Примечание: netplwiz — это командная строка, которая удаляет пароль безопасности, установленный для ПК.

3. На вкладке Пользователи выберите свою учетную запись.

4. Щелкните Свойства.

5. Перейдите на вкладку «Членство в группе» и выберите «Администратор», чтобы сделать эту учетную запись администратора.

6. Нажмите «Применить», а затем «ОК».

Способ 4: добавить учетную запись администратора

В этом методе вы можете добавить еще одну учетную запись администратора в дополнение к существующей учетной записи администратора. Это позволит вам установить программное обеспечение на другую учетную запись.

1. Нажмите клавишу Windows, введите «Командная строка» в строке поиска Windows и нажмите «Запуск от имени администратора».

2. Нажмите «Да» в окне контроля учетных записей пользователей.

3. Введите команду net localgroup Administrators /add и нажмите клавишу Enter.

Примечание. Между администраторами и косой чертой следует оставлять пробел.

Способ 5: создать учетную запись администратора

Этот метод установки программного обеспечения без прав администратора позволяет вам создать учетную запись администратора для себя, чтобы вы могли иметь другую учетную запись, которая полностью находится под вашим контролем.

Примечание. Программное обеспечение, которое вы пытаетесь установить, должно быть установлено в этой учетной записи администратора, а не в существующей учетной записи пользователя.

1. Введите «Командная строка» в строке поиска Windows и нажмите «Запуск от имени администратора».

2. Нажмите Да в подсказке.

3. Введите команду Администратор сетевого пользователя /active:yes и нажмите Enter.

4. Перезагрузите компьютер, и вы увидите учетную запись администратора.

Теперь вы можете установить программу в Windows 10

Способ 6: изменить обычного пользователя как администратора

Этот метод позволяет вам сделать вашу учетную запись пользователя учетной записью администратора для установки любого приложения без необходимости спрашивать администратора.

1. Введите Панель управления в строке поиска Windows и запустите ее на своем ПК.

2. Установите Просмотр по категории. Нажмите «Учетные записи пользователей».

3. Выберите «Учетные записи пользователей» вверху.

4. Выберите Управление другой учетной записью.

5. Выберите стандартного пользователя на ПК, нажав на него.

6. Выберите изменить тип учетной записи на левой панели.

7. Выберите «Администратор» и нажмите «Изменить тип учетной записи».

8. Перезагрузите ПК и установите программу без прав администратора Windows 10.

Способ 7: отключить ограничения загрузки, установленные администратором

В этом методе вы сможете отключить все подсказки UAC на ПК. Другими словами, вы не будете получать подсказки UAC для каких-либо действий на ПК. Это позволяет вам устанавливать любое приложение, не реагируя на ограничения загрузки, установленные администратором.

1. Нажмите клавишу Windows и введите Панель управления в строке поиска. Откройте лучшие результаты.

2. Установите Просмотр по категории. Выберите опцию «Система и безопасность» в доступном меню.

3. Щелкните Безопасность и обслуживание.

4. Нажмите «Изменить настройки контроля учетных записей».

5. Перетащите селектор на экране вниз к параметру Никогда не уведомлять и нажмите OK.

Примечание. Этот параметр изменит ПК и никогда не будет запрашивать разрешение администратора, пока вы не сбросите настройки с помощью селектора.

Способ 8: загрузитесь в безопасном режиме и выберите «Встроенный администратор»

Этот метод позволяет вам открыть свой компьютер в безопасном режиме и настроить параметры на компьютере, чтобы легко установить приложение.

1. Откройте диалоговое окно «Выполнить», одновременно нажав клавиши Windows + R.

2. Введите msconfig и нажмите OK, чтобы открыть окно «Конфигурация системы».

3. Перейдите на вкладку «Загрузка» и установите флажок «Безопасная загрузка».

4. Нажмите «Применить», а затем «ОК», чтобы завершить процесс.

5. Нажмите «Перезагрузить», чтобы завершить процесс на следующем экране.

6. После запуска ПК в безопасном режиме выберите встроенную учетную запись администратора и войдите без пароля, чтобы установить программное обеспечение.

Способ 9: управление локальными пользователями и группами

Этот метод позволяет вам управлять локальными пользователями и групповыми учетными записями. Это поможет вам установить программное обеспечение без прав администратора.

Примечание. Этот метод не работает на ПК с Windows 10.

1. Нажмите одновременно клавиши Windows + R, чтобы открыть диалоговое окно «Выполнить».

2. Введите lusrmgr.msc и нажмите OK, чтобы открыть окно «Локальные пользователи и группы».

3. На левой панели выберите Пользователи.

4. В следующем окне дважды щелкните Администратор.

5. Перейдите на вкладку «Общие» и снимите флажок «Учетная запись отключена».

6. Нажмите «Применить», а затем «ОК».

Метод 10: изменить локальную политику безопасности

Этот метод включает встроенную учетную запись администратора и дает вам полный неограниченный доступ к ПК. Он не получает диалоговые окна контроля учетных записей для завершения какой-либо операции.

Примечание 1. Вы можете получить доступ к локальной политике безопасности, только если вы используете выпуски Windows 10 Pro, Enterprise и Education.

Примечание 2. В целях безопасности рекомендуется вернуть исходные настройки после завершения установки.

1. Откройте диалоговое окно «Выполнить», одновременно нажав клавиши Windows + R.

2. Введите термин secpol.msc и нажмите кнопку OK, чтобы открыть окно локальной политики безопасности.

3. Нажмите «Настройки безопасности» на левой панели.

4. На правой панели дважды щелкните Локальные политики.

5. Теперь дважды щелкните «Параметры безопасности».

6. Дважды щелкните Учетные записи: статус учетной записи администратора.

7. Выберите параметр «Включено» и нажмите «Применить», а затем «ОК».

8. Перезагрузите ПК и установите программу без прав администратора Windows 10.

Способ 11: изменить редактор групповой политики

Этот метод позволяет вам обновить настройки вашего ПК и упрощает установку драйверов на ваш ПК. Для этого воспользуемся редактором групповой политики. Шаги в методе разделены на три этапа для лучшего понимания. Этот метод в основном ориентирован на объяснение того, как установить драйвера без прав администратора Windows 10.

Примечание 1. Вы можете получить доступ к редактору групповой политики, только если вы используете выпуски Windows 10 Pro, Enterprise и Education.

Шаг 1. Разрешите доступ пользователю

Упомянутые ниже шаги позволяют разрешить пользователю, не являющемуся администратором, устанавливать драйверы принтера. Следовательно, рекомендуется устанавливать только доверенные драйверы принтера.

1. Откройте диалоговое окно «Выполнить», одновременно нажав клавиши Windows + R.

2. Введите gpedit.msc и нажмите OK, чтобы открыть редактор групповой политики.

3. На левой панели разверните параметр Конфигурация компьютера.

4. Нажмите «Настройки Widows» и разверните его.

5. Разверните Параметры безопасности в списке.

6. Выберите «Локальные политики» и разверните его.

7. Выберите и разверните Параметры безопасности в доступном списке.

8. Выберите Устройства: Запретить пользователям устанавливать драйверы принтеров на правой панели.

9. Щелкните параметр правой кнопкой мыши и выберите в списке Свойства.

10. Выберите параметр «Отключено» и нажмите «Применить», а затем «ОК».

Шаг 2. Установите драйвер принтера

Следующие шаги помогут вам установить драйвер принтера на ваш компьютер.

1. В том же окне редактора групповой политики разверните узел «Конфигурация компьютера».

2. Выберите «Административные шаблоны» и разверните его.

3. В доступном списке выберите Система и разверните папку.

4. Нажмите «Установка драйвера» в левой части окна.

5. Затем щелкните правой кнопкой мыши Разрешить пользователям, не являющимся администраторами, устанавливать драйверы для этих классов установки устройств и выберите параметр Изменить.

6. Выберите параметр «Включено» и нажмите кнопку «Показать…».

7. В окне «Показать содержимое» введите следующий идентификатор GUID.

Class = Printer {4658ee7e-f050-11d1-b6bd-00c04fa372a7}

Примечание. GUID — это глобальный уникальный идентификатор, используемый для предоставления уникальных ссылочных номеров программным приложениям.

8. Теперь щелкните следующую запись и введите указанный GUID.

Class = PNPPrinters {4d36e979-e325-11ce-bfc1-08002be10318}

9. Нажмите OK, чтобы применить изменения к вашему ПК.

Шаг 3. Предоставьте Windows доступ к драйверу

Следующие шаги выполняются, чтобы предоставить Windows доступ к драйверу, который вы хотите установить на свой компьютер.

1. Запустите окно редактора групповой политики на вашем ПК.

2. Разверните папку «Конфигурация компьютера».

3. Разверните папку «Административные шаблоны».

4. Выберите Принтеры в доступном списке.

5. Затем щелкните правой кнопкой мыши Point and Print Restrictions и выберите Edit.

6. Выберите в окне Disabled и нажмите Apply, а затем OK.

7. Теперь в том же окне редактора групповой политики разверните папку User Configuration.

8. Нажмите «Административные шаблоны» и разверните его.

9. Выберите в списке Панель управления и разверните ее.

10. Выберите Принтеры в отображаемом списке.

11. Щелкните правой кнопкой мыши Ограничения точек и принтеров. В раскрывающемся меню выберите пункт «Редактировать».

12. Установите для него значение «Отключено», нажмите «Применить», а затем «ОК».

13. Закройте окно редактора групповой политики, чтобы завершить процесс.

14. Перезагрузите компьютер и установите драйвер на свой компьютер.

Способ 12: перезагрузить компьютер

Чтобы ответить на ваш вопрос о том, как установить программное обеспечение без прав администратора, вы можете перезагрузить компьютер. Этот метод будет рассматривать ваш компьютер как новый компьютер. Вы можете использовать этот метод, чтобы установить учетную запись пользователя на свой компьютер и задать пароль. Таким образом, вы можете получить доступ, сделав себя администратором.

Примечание. Этот метод приведет к удалению всех данных на ПК. Этот метод сбросит все данные и настройки на вашем ПК. Возможно, вам придется переустановить Windows на вашем компьютере.

1. Нажмите одновременно клавиши Windows + I, чтобы открыть приложение «Настройки».

2. Выберите опцию «Обновление и безопасность» в доступном меню.

3. Выберите Восстановление в левой части окна.

4. В разделе «Сбросить этот компьютер» нажмите кнопку «Начать».

5А. Если вы хотите удалить приложения и настройки, но сохранить свои личные файлы, выберите параметр «Сохранить мои файлы».

5Б. Если вы хотите удалить все свои личные файлы, приложения и настройки, выберите параметр «Удалить все».

6. Наконец, следуйте инструкциям на экране, чтобы завершить процесс сброса.

7. Перезагрузите ПК и установите программу без прав администратора Windows 10.

***

Мы надеемся, что эта статья была вам полезна, и вы узнали ответ на вопрос, как установить программное обеспечение без прав администратора. Цель статьи — предоставить информацию о методах, которые можно использовать для установки программного обеспечения на ваш компьютер в обход прав администратора на вашем компьютере. Пожалуйста, оставьте свои ценные предложения и вопросы в разделе комментариев.

Скачивая программы с сайтов разработчиков или других источников, вы, наверное, не раз замечали, что одни из исполняемых файлов этих программ имеют на себе характерную иконку щита, а другие нет. Что это означает? А означает это следующее: если исполняемый файл программы или её ярлык на рабочем столе отмечен этим жёлто-голубым значком, значит данная программа требует прав администратора. В связи с этим у многих пользователей возникает вопрос: а можно ли каким-то образом обойти это ограничение и установить/запустить программу в обычной учётной записи пользователя? Ответ на него будет зависеть от того, для каких целей разрабатывалась программа и с какими объектами файловой системы ей предстоит работать.

Как установить программу без прав администратора

В действительности многие из таких программ прекрасно могут работать без прав администратора, если владельцем компьютера им предоставлены соответствующие разрешения на папку Program Files и используемые ими ветки реестра. Являясь же обычным пользователем, вы можете устанавливать и запускать только те программы, которые не используют системный каталог ProgramFiles, если же вы запустите установочный файл приложения, требующего повышенных прав, то, во-первых, автоматически сработает UAC (контроль учётных записей), во-вторых, на экране появится окно с запросом пароля администратора. 
Отключение админом UAC не решает проблемы, поскольку устанавливаемая программа всё равно попросит вас ввести пароль администратора. Что можно предпринять в этой ситуации? Воспользоваться функцией, или правильнее сказать, уровнем прав текущего пользователя AsInvoker, подавляющим UAC и сообщающим программе, что она может запуститься с привилегиями родительского процесса, то есть буквально с теми правами, которые имеются на данный момент у пользователя. Но «может» ещё не означает, что она действительно запустится, ведь привилегии в системе AsInvoker не повышает. 

Если в файле манифеста программы чётко прописано, что запускаться/устанавливаться программа должна исключительно с правами администратора, то AsInvoker не поможет. Так, нам так и не удалось установить системный настройщик Winaero Tweaker, а если бы и удалось, мы бы всё равно не смогли им пользоваться. Теперь, когда вы приблизительно знаете, как это работает в теории, перейдём к решению поставленной задачи на практике. Всё очень просто. Создайте Блокнотом обычный текстовый файл и вставьте в него следующий код:

cmd /min /C «set __COMPAT_LAYER=RunAsInvoker && start «» «%1″»
Сохраните файл как install.cmd (имя можно дать произвольное, главное, чтобы расширение было CMD или BAT), а затем перетащите на созданный скрипт установочный файл программы, которую хотите установить без прав администратора. На секунду на экране появится окно командной строки, а затем запустится мастер-установщик приложения. Когда вы дойдёте до шага «Папка установки», вам нужно будет заменить стандартный путь C:ProgramFilesназвание-программы другим путём, ведущим к какому-нибудь каталогу в профиле пользователя. Например, вы можете создать папку Programs в расположении %userprofile% и. 
В неё то и нужно устанавливать программы, поскольку на стандартную папку ProgramFiles у вас всё равно нет прав.  Ярлык установленной программы на рабочем столе и в меню создан, скорее всего, не будет, поэтому вам потребуется зайти в папку с инсталлированным приложением и создать его вручную. 
Теперь что касается минусов данного решения. Весьма вероятно, что установленные программы не смогут сохранять часть своих настроек, если по умолчанию они должны хранится в тех ключах реестра, которые обычный пользователь не может изменять по причине отсутствия у него прав администратора. 

Использование AsInvoker в учётной записи администратора

И в завершении хотелось бы сказать пару слов о том, что AsInvoker даёт администратору. Когда вы работаете в учётной записи администратора, все программы запускаются с правами вашей учётной записи (не путайте это, пожалуйста, с запуском программ от имени администратора, то есть с повышением привилегий в рамках одной учётной записи). 

А теперь предположим, что у вас есть программа, которой вы не хотите предоставлять права вашей учётной записи. Чтобы не создавать обычную учётную запись, вы можете воспользоваться функцией. Чтобы продемонстрировать разницу между запущенной обычным способом программой (в примере использовался штатный редактор реестра) и той же программой, запущенной через скрипт с прописанным в нём уровнем прав родительского процесса, мы добавили в Диспетчер задач дополнительную колонку «С повышенными правами». 
В первом случае напротив процесса в этой колонке указано «Да», а во втором — нет, то есть редактор реестра запустился с пониженными привилегиями. Поскольку запущенный в таком режиме regedit утрачивает часть своих полномочий, некоторые ключи реестра окажутся недоступными для редактирования. Это же касается любой другой программы. Не имея соответствующих прав, такая программа, если она окажется небезопасной, уже не сможет перезаписать важные системные файлы и ключи реестра.

Многие программы при запуске требуют повышения прав (значок щита у иконки), однако на самом деле для их нормальной работы права администратора не требуется (например, вы можете вручную предоставить необходимые права пользователям на каталог программы в ProgramFiles и ветки реестра, которые используются программой). Соответственно, если на компьютере включен контроль учетных записей, то при запуске такой программы из-под непривилегированного пользователя появится запрос UAC и Windows потребует от пользователя ввести пароль администратора. Чтобы обойти этот механизм многие просто отключают UAC или предоставляют пользователю права администратора на компьютере, добавляя его в группу локальных администраторов. Microsoft не рекомендует использовать такие методы, т.к. это снижает безопасность компьютера.

Зачем обычному приложению могут понадобится права администратора?

Права администратора могут потребоваться программе для модификации некоторых файлов (логи, файлы конфигурации и т.д.) в собственной папке в C:Program Files (x86)SomeApp). По умолчанию у пользователей нет прав на редактирование данного каталога, соответственно, для нормальной работы такой программы нужны права администратора. Чтобы решить эту проблему, нужно войти на компьютер под администратором и вручную предоставить пользователю (или встроенной группе Users) права на изменение/запись для этого каталога на уровне файловой системы NTFS.

Примечание. На самом деле практика хранения изменяющихся данных приложения в собственном каталоге в C:Program Files неверна. Правильнее хранить данные приложения в профиле пользователя. Но это уже вопрос о лени и некомпетентности разработчиков программ.

Запуск программы, требующей права администратора, от обычного пользователя

Ранее мы уже описывали, как можно с помощью параметра RunAsInvoker отключить запрос UAC для конкретной программы. Однако этот метод недостаточно гибкий.

Также можно воспользоваться RunAs с сохранением пароля админа
/SAVECRED
в диспетчере паролей Windows (Credentials Manager). Это также небезопасно, т.к. пользователь может использовать сохранённый пароль учетной записи администратора для запуска других программ.

Рассмотрим более простой способ принудительного запуска любой программы без прав администратора (и без ввода пароля админа) при включенном UAC (4,3 или 2 уровень ползунка UAC).

Для примера возьмем утилиту редактирования реестра — regedit.exe (она находится в каталоге C:windows). Обратите внимание на щит UAC у иконки. Данный значок означает, что для запуска этой программы будет запрошено повышение привилегий через UAC.

Если запустить
regedit.exe
, то перед вами появится окно User Account Contol с запросом пароля пользователя с правами администратора на этом компьютере (
Do you want to allow this app to make changes to your device?
). Если не указать пароль и не подтвердить повышение привилегии, приложение не запустится.

Попробуем обойти запрос UAC для этой программы. Создайте на рабочем столе файл run-as-non-admin.bat со следующим текстом:

cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && start "" %1"

Теперь для принудительного запуска приложения без прав администратора и подавлением запроса UAC, просто перетащите нужный exe файл на этот bat файл на рабочем столе.

После этого редактор реестра должен запуститься без появления запроса UAC и без ввода пароля администратора. Откройте диспетчер процессов, добавьте столбец Elevated и убедитесь, что в Windows 10 запустился непривилегированный процесс regedit (запущен с правами пользователя).

Попробуйте отредактировать любой параметр в ветке HKEY_LOCAL_MACHINE. Как вы видите доступ на редактирование реестра в этой ветке запрещен (у данного пользователя нет прав на запись в системные ветки реестра). Но вы можете добавлять и редактировать ключи в собственной ветке реестра пользователя — HKEY_CURRENT_USER.

Аналогичным образом через bat файл можно запускать и конкретное приложение, достаточно указать путь к исполняемому файлу.

run-app-as-non-admin.bat

Set ApplicationPath="C:Program FilesMyApptestapp.exe"
cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && start "" %ApplicationPath%"

Также можно добавить контекстное меню, которое добавляет у всех приложений возможность запуска без повышения прав. Для этого создайте файл runasuser.reg файл, скопируйте в него следующий код, сохраните и импортируйте его в реестр двойным щелчком по reg файлу (понадобятся права администратора).

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT*shellforcerunasinvoker]
@="Run as user without UAC elevation"
[HKEY_CLASSES_ROOT*shellforcerunasinvokercommand]
@="cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && start "" "%1"""

После этого для запуска любого приложения без прав админа достаточно выбрать пункт “Run as user without UAC elevation” в контекстном меню проводника Windows File Explorer.

Еще раз напомню, что использование программы в режиме RUNASINVOKER не позволит вам получить повышенные права для программы. Параметр AsInvoker подавляет сообщает UAC и сообщает программе, что она должна запуститься с правами текущего пользователя и не запрашивать повышение привилегий. Если программе действительно нужны повышенные права для редактирования системных параметров или файлов, она не будет работать или повторно запросит права администратора.

RunAsInvoker в переменной окружения __COMPAT_LAYER

Переменная окружения __COMPAT_LAYER позволяет устанавливать различные уровни совместимости для приложений (вкладка Совместимость в свойствах exe файла). С помощью этой переменной можно указать настройки совместимости, с которыми нужно запускать программу. Например, для запуска приложения в режиме совместимости с Windows 7 и разрешением 640×480, установите:

set __COMPAT_LAYER=Win7RTM 640x480

Из интересных нам опций переменной __COMPAT_LAYER можно выделить следующие параметры:

• RunAsInvoker — запуск приложения с привилегиями родительского процесса без запроса UAC;
• RunAsHighest — запуск приложения с максимальными правами, доступными пользователю (запрос UAC появляется если у пользователя есть права администратора);
• RunAsAdmin — запуск приложение с правами администратора (запрос AUC появляется всегда).

Следующий код включает режим RUNASINVOKER для текущего процесса и запускает указанную программу:

set __COMPAT_LAYER=RUNASINVOKER

start "" "C:Program FilesMyApptestapp.exe"

Включаем режим RunAsInvoker через манифест exe файла программы

Как мы уже говорили выше, Windows 10 показывает значок щита UAC у программ, которые для запуска требуют повышение привилегий. Это требование разработчики задают при разработке в специальной секции программы — манифесте.

Вы можете отредактировать манифест exe файла программы и отключить требование запускать программу в привилегированном режиме.

Для редактирования манифеста программы можно использовать бесплатную утилиту Resource Hacker. Откройте исполняемый файл программы в Resource Hacker.

В дереве слева перейдите в раздел Manifest и откройте манифест программы.

Обратите внимание на строки:

<requestedPrivileges>
<requestedExecutionLevel          level="requireAdministrator"          uiAccess="false"/>
</requestedPrivileges>

Именно благодаря опции requireAdministrator Windows всегда запускает эту программу с правами администратора.

Измените requireAdministrator на asInvoker и сохраните изменения в exe файле.

Обратите внимание, что теперь у иконки программы пропал щит UAC и вы можете запустить ее без запроса прав администратора с привилегиями текущего пользователя.

Если исполняемый файл программы подписан подписью MS Authenticode (сертификатом Code Signing), то после модификации exe файла он может перестать запускаться или выдавать предупреждение.

В этом случае можно заставить программу использовать внешний файл манифеста. Создайте в каталоге с ехе файлом текстовый файл
app.exe.manifest
(например Autologon.exe.manifest) и скопируйте в него код манифеста из Resource Hacker. Измените requireAdministrator на asInvoker. Сохраните файл.

Чтобы Windows при запуске приложений всегда пробовала использовать внешний файл манифеста, включите специальный параметр реестра:

REG ADD "HKLMSOFTWAREMicrosoftWindowsCurrentVersionSideBySide" /v PreferExternalManifest /t REG_DWORD /d 1 /f

Перезагрузите Windows и убедитесь, что программа использует внешний файл манифеста, в котором указано, что нужно запускаться без прав администратора.

[Конспект админа] Что делать, если программа хочет прав администратора, а вы нет

(с) Вася Ложкин.

К сожалению, в работе сисадмина нет-нет да и приходится разрешать пользователям запускать всякий софт с админскими правами. Чаще всего это какие-нибудь странные китайские программы для работы с оборудованием. Но бывают и другие ситуации вроде небезызвестного bnk.exe.

Выдавать пользователю права администратора, чтобы решить проблему быстро и просто, противоречит нормам инфобезопасности. Можно, конечно, дать ему отдельный компьютер и поместить в изолированную сеть, но — это дорого и вообще…

Попробуем разобрать решения, которые позволят и программу запустить, и безопасника с финансистом не обозлить.

Ну, и зачем тебе права?

Программа может запрашивать права администратора условно в двух случаях:

1. Когда хочет получить доступ туда, куда «простым смертным» нельзя: например, создавать файлы в системных каталогах.
2. Когда программу скомпилировали со специальным флагом «Требовать права администратора».

С первым случаем все понятно: берем в руки замечательную программу Марка Руссиновича Process Monitor, смотрим, что происходит, и куда программа пытается залезть:

Куда это лезет этот 7Zip?

И по результатам исследования выдаем права пользователю на нужный каталог или ветку реестра.

Сложнее, если случай клинический, и так просто выдать права не получится: например, программа требует сильного вмешательства в работу системы вроде установки драйверов. Тогда придется придумывать всякий колхоз, про который речь пойдет в последнем разделе статьи. Пока подробнее освещу второй случай — когда стоит флажок.

Если сильно упростить, то в специальном манифесте программы (к слову, установщики — это тоже программы) могут быть три варианта запуска:

• asInvoker. Программа запускается с теми же правами, что и породивший ее процесс (как правило, это explorer.exe c правами пользователя);
• highestAvailable. Программа попросит максимально доступные пользователю права (у администратора появится окно с запросом повышения UAC, у пользователя — нет);
• requireAdministrator. Программа будет требовать права администратора в любом случае.

Если разработчик твердо решил требовать права администратора, даже если они не нужны, то обойти это можно малой кровью.

Нет, не будет тебе прав

В системе Windows, начиная с Vista, появилась служба UAC, которая помимо прочего отвечает за запросы программ на повышение прав. Не все программы «переваривали» работу с этой службой. Поэтому в системе был доработан механизм совместимости приложений, позволяющий прямо задать программе ее поведение — запрашивать права или нет.

Простейшим вариантом работы с этим механизмом будет использование переменных среды.

Рассмотрим пример с редактором реестра. Действительно, запуская regedit.exe под администратором, мы получаем запрос на повышение прав:

Запрос повышение прав.

Если же мы запустим редактор реестра из консоли, предварительно поменяв значение переменной среды __COMPAT_LAYER на:

set __COMPAT_LAYER=RUNASINVOKER

То запроса UAC не будет, как и административных прав у приложения:

Бесправный редактор реестра.

Этим можно пользоваться, запуская программы батниками или добавляя контекстное меню через реестр. Подробнее читайте в материале How to Run Program without Admin Privileges and to Bypass UAC Prompt?

С конкретным примером такой неприятной программы можно столкнуться при загрузке классификаторов банков из 1С с сайта РБК по ссылке http://cbrates.rbc.ru/bnk/bnk.exe. Если обновление классификаторов отдается на откуп самим пользователям и нет возможности поменять загрузку на bnk.zip (а современные 1С это поддерживают), то приходится придумывать костыли. Ведь bnk.exe — самораспаковывающийся архив, в котором зачем-то прописано «Требовать права администратора».

Поскольку ярлычками тут обойтись не выйдет, ведь 1С сама скачивает файл и запускает его, то придется применять тяжелую артиллерию — Microsoft Application Compatibility Toolkit.

Документация к ПО, как обычно, доступна на официальном сайте, загрузить можно как часть Windows Assessment and Deployment Kit. Сам процесс решения проблемы несложен.

Необходимо поставить утилиту, запустить Compatibility Administrator и создать Application Fix в новой или имеющейся базе данных:

Создаем исправление приложения.

Имя и издатель значения не имеют. Имеет значение только расположение файла — тут нужно указать реальный проблемный bnk.exe (где он будет лежать на самом деле — не важно).

Далее необходимо в списке исправлений выбрать RunAsInvoker.

Выбираем нужный фикс.

Все остальное оставляем по умолчанию, сохраняем базу данных. Должно получиться примерно так:

Созданный фикс для bnk.exe.

После этого достаточно будет установить базу данных, щелкнув по ней правой кнопкой и выбрав Install. Теперь пользователи смогут сами грузить классификаторы банков.

Все становится хуже, если приложению действительно нужны права админа. Тогда добавление прав на системные объекты и исправления не помогают.

Ну ладно, держи права

Казалось бы, самым очевидным решением для запуска нашего странного ПО выглядит использование встроенной утилиты Runas. Документация доступна на сайте Microsoft.

Ну, посмотрим, что из этого выйдет.

Команда:

runas /savecred /user:Администратор "C:Program Files7-Zip7zFM.exe" 

Действительно, RunAs запустит 7zip с правами учетной записи «Администратор», спросит пароль и запомнит его. Потом ярлык с такой строкой запуска будет запускать 7zip под Администратором без вопросов.

)

Вводим пароль.

Есть один существенный недостаток: пароль запоминается на уровне системы, и теперь, используя команду Runas, можно будет запускать абсолютно любую программу. Это мало чем отличается от прямого предоставления админских прав сотрудникам, так что использовать это решение не стоит.

Зато runas может быть полезен, когда сотрудник знает пароль администратора, но работает под ограниченной учетной записью (по идее так должен делать каждый системный администратор).

Если мы начали с консольных команд, то перейдем к более высокоуровневым скриптам. Интересное решение было предложено в статье «Планктонная Windows», где упомянутый выше Runas обвязывался js-скриптом и пропускался через обфускатор. У решения есть и очевидный минус — скрипт можно раскодировать.

Чуть более интересным методом в 2к20 являются возможности PowerShell и его работа с паролями. Подробнее можно почитать в материале «Защита и шифрование паролей в скриптах PowerShell».

Если вкратце: в PS работа с паролями производится через специальный тип данных SecureString и объект PSCredential. Например, можно ввести пароль интерактивно:

$Cred = Get-Credential

Затем сохранить пароль в зашифрованном виде в файл:

$Cred.Password | ConvertFrom-SecureString | Set-Content c:pass.txt

И теперь использовать этот файл для неинтерактивной работы:

$username = "DomainАдминистратор"

$pass = Get-Content C:pass.txt | ConvertTo-SecureString

$creds = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $username, $pass

К сожалению, файл этот можно использовать только на том ПК, на котором его создали. Чтобы этого избежать, можно сделать отдельный ключ шифрования. Например так:

$AESKey = New-Object Byte[] 32

[Security.Cryptography.RNGCryptoServiceProvider]::Create().GetBytes($AESKey)

$AESKey | out-file C:password_aes.key

Теперь при помощи этого ключа пароль можно зашифровать:

$Cred.Password| ConvertFrom-SecureString -Key (get-content C:password_aes.key

)| Set-Content C:pass.txt

И расшифровать:

$pass = Get-Content C:pass.txt | ConvertTo-SecureString -Key (get-content C:password_aes.key)

К сожалению, с безопасностью дела обстоят так же печально: утащить пароль не составляет трудностей, если есть доступ к файлу с ключом шифрования и зашифрованным паролем. Да, можно добавить обфускации и скомпилировать скрипт в .exe вместе с нужными файлами. Но нужно понимать, что это — полумеры.

В свое время я использовал для решения подобных задач свой любимый AutoIt, где компилировал скрипт с командой RunAs и радовался… До тех пор, пока не узнал, что AutoIt (особенно старых версий) декомпилируется на раз-два.

Другим интересным вариантом может быть применение назначенных заданий — если создать назначенное задание от админского аккаунта, пользователю для работы будет достаточно его запуска. К сожалению, для интерактивной работы с приложением это решение не подходит.

На свете существует несколько сторонних решений, призванных решить задачу. Остановлюсь на парочке из них.

Пожалуй, одна из самых известных утилит — это AdmiLink, разработанная Алексеем Курякиным для нужд ядерной физики. Программа и принципы ее работы описаны на официальном сайте. Я, как обычно, позволю себе более краткое описание.

Программа состоит из трех модулей. AdmiLink — это графическое окно, где можно создать ярлык на нужное приложение (в принципе, в ряде случаев достаточно только его).

Основное окно программы.

Помимо непосредственно создания ярлыка (и да, запрос UAC тоже можно подавлять), есть и дополнительные функции вроде калькулятора, терминала и удобных настроек политик безопасности. Со всеми возможностями программы читателю предлагается разобраться самостоятельно.

Второй модуль называется AdmiRun и представляет из себя консольную утилиту. Она умеет запускать приложения от имени администратора, получив в качестве одного из параметров строку, созданную через AdmiLink. В строке шифруется имя пользователя и пароль, при этом участвует и путь к программе.

На первый взгляд все выглядит безопасно, но, к сожалению, код программ закрыт, и насколько можно доверять разработчику — вопрос.

Третий модуль — AdmiLaunch — отвечает за запуск окон в разных режимах, и он используется для запуска AdmiRun, если создавать ярлык через AdmiLink.

В целом, решение проверено годами и поколениями отечественных системных администраторов. Но добавлю и альтернативу из-за рубежа.

RunAsRob — довольно интересное ПО за авторством немецкого разработчика Оливера Хессинга (Oliver Hessing). В отличие от AdmiLink, ПО устанавливается как служба, запускаемая под привилегированной учетной записью (администратора или системы). Как следствие, подготовленный ярлык обращается к службе, которая уже в свою очередь запускает заданное ПО.

Особенность программы в том, что есть возможность авторизовать не только программы, но и папки (включая сетевые). А хранение настроек в реестре позволило добавить шаблоны групповых политик, примерно как мы писали в статье «Погружение в шаблоны и приручение GPO Windows». Благодаря этому при необходимости настройки можно применять прямо из Active Directory.

Основное окно программы.

Программа богато документирована на официальном сайте.

У этого автора есть еще и программа RunAsSpc, позволяющая запускать исполняемые файлы под правами другого пользователя, передавая учетные данные через зашифрованный файл.

Мне остается только добавить, что это ПО бесплатно только для личного использования.

Но учтите, что из программы, запущенной под административными правами, можно натворить бед. Например, запустить привилегированную командную консоль через диалог Файл — Открыть.

Запускаем cmd.exe прямо из редактора реестра.

Немного защититься помогут политики запрета контекстного меню и прочих диспетчеров задач, часть из которых может настроить AdmiLink. Но в любом случае следует быть осторожным.

А вам приходилось городить странные костыли? Предлагаю делиться историями в комментариях.