как установить драйвер принтера без прав администратора
Установка программ без прав администратора на Windows
Для установки некоторого программного обеспечения требуется наличие прав администратора. Кроме этого и сам администратор может ставить ограничение на установку различного софта. В случае когда требуется выполнить инсталляцию, а разрешения на нее нет, предлагаем воспользоваться несколькими простыми методами, описанными ниже.
Устанавливаем программу без прав администратора
В сети интернет присутствует множество различного ПО, позволяющего обходить защиту и выполнять инсталляцию программы под видом обычного пользователя. Мы не рекомендуем их использовать особенно на рабочих компьютерах, так как это может нести за собой серьезные последствия. Мы же представим безопасные способы установки. Давайте рассмотрим их подробнее.
Способ 1: Выдача прав на папку с программой
Чаще всего права администратора софту требуются в том случае, когда будут проводиться действия с файлами в своей папке, например, на системном разделе жесткого диска. Владелец может предоставить полные права другим юзерам на определенные папки, что позволит выполнять дальнейшую установку под логином обычного пользователя. Делается это следующим образом:
Теперь во время установки программы вам потребуется указать папку, к которой предоставили полный доступ, и весь процесс должен пройти успешно.
Способ 2: Запуск программы с учетной записи обычного пользователя
В тех случаях когда нет возможности попросить администратора предоставить права доступа, рекомендуем воспользоваться встроенным в Windows решением. С помощью утилиты через командную строку осуществляются все действия. От вас требуется только следовать инструкции:
runas /user:User_Name\administrator Program_Name.exe
Способ 3: Использование портативной версии программы
Некоторое ПО имеет портативную версию, не требующую установки. Вам будет достаточно скачать ее с официального сайта разработчика и запустить. Выполнить это можно очень просто:
Вы можете перекинуть файл софта на любое съемное устройство хранения информации и запускать его на разных компьютерах без прав администратора.
Сегодня мы рассмотрели несколько простых способов как установить и использовать различные программы без прав администратора. Все они не сложные, но требуют выполнения определенных действий. Мы же рекомендуем для установки софта просто войти в систему с учетной записи администратора, если это доступно. Подробнее об этом читайте в нашей статье по ссылке ниже.
Помимо этой статьи, на сайте еще 12384 инструкций.
Добавьте сайт Lumpics.ru в закладки (CTRL+D) и мы точно еще пригодимся вам.
Отблагодарите автора, поделитесь статьей в социальных сетях.
Как установить драйвер принтера без прав администратора
Одним из актуальных вопросов использования Windows 7 в корпоративной среде – предоставление мобильным пользователям прав на установку локальных устройств без назначения им прав локального администратора. В предыдущих версиях Windows (NT 4, Windows 2000 и XP) в большинстве случаев данный вопрос решался просто: мобильным пользователям предоставляли права локального администратора (или Power User), лишь потому что в командировке им может понадобиться установить и подключить внешнее устройство. Если несколько лет назад права на установку локальных устройств были нужны преимущественно для подключения локальных принтеров, то сейчас список таких внешних устройств существенно расширился, теперь необходимо не забывать о поддержке мобильных телефонов, гарнитурах, камерах и т.д.
Как установить устройство в Windows 7 без прав администратора-01
Microsoft добавила ряд новшеств в свои последние ОС (Windows Vista и Windows 7), которые реализуют возможности централизованного корпоративного управления установкой локальных устройств. В данной статье я попытаюсь объяснить, что же происходит, когда к клиенту Windows 7 подключается новое внешнее устройство и каким образом на этот процесс можно влиять с помощью настроек групповых политик.
В Windows XP рядовой пользователь мог установить новое устройство, только в том случае, если данное устройство поддерживается одним из стандартных драйверов Windows, входящих в комплект установки, или же если драйвер для этого устройства доступен через службу обновлений Windows Update. В Windows XP количество устройств, поддерживаемых такими предустановленными драйверами по сравнению с Windows 7 было существенно ограничено. Службу, позволяющую обновлять драйвера устройств через Windows Update, Microsoft запустила в 2005 году, а как вы помните через год уже была выпущена Windows Vista, поэтому многие производители аппаратного обеспечения, похоже, решили не тратить средства на обеспечение возможности обновления драйверов своих устройств для Windows XP через Центр обновлений Windows. И именно по этим причинам, чтобы предоставить мобильному пользователю права на установку нового оборудования, корпоративным администраторам приходилось давать пользователям права локальных администраторов на их ноутбуках.
Вместе с выходом Windows Vista процедура установки новых драйверов несколько изменилась. В предыдущих версиях Windows драйвера устройств могли храниться в различных каталогах, теперь же в Windows Vista и последующих версиях Windows, появилось понятие «Хранилище драйверов» (Driver Store), которое является доверенным местоположением для хранения всех встроенных драйверов и пакетов драйверов сторонних разработчиков. Теперь в Windows можно установить только драйвер, хранящийся в этом хранилище Driver Store. Процесс доставки драйвера в Driver Store называется “staging” (поставка). Хорошая новость заключается в том, что любой драйвер, который имеется в хранилище драйверов, может быть установлен любым пользователем без прав локального администратора.
Давайте представим что же происходит, когда пользователь пытается подключить новое устройство к клиенту на Windows 7. По умолчанию Windows 7 пытается найти подходящий драйвер на Windows Update, и если искомый драйвер будет найден, автоматически скачает и поместит его в локальное хранилище Driver Store, т.е. перед установкой будет осуществлен процесс поставки драйвера (staging). В том случае, если подходящего драйвера не будет найдено, Windows продолжит поиск подходящего драйвера в локальном хранилище. Если подходящий драйвер будет найден, Windows установит его. Если драйвер вновь не будет обнаружен, система продолжит поиск по пути, указанному в значении ключа реестра DevicePath, это может быть локальный диск, например C:\Drivers или сетевая папка. Если и там драйвер не будет найден, Windows сообщит о том, что подходящего драйвер не было найдено.
Описанный выше процесс должен помочь большинству домашних пользователей и пользователям небольших компании решить проблему установки локальных устройств без наличия прав локального администратора. Однако в сетях крупных организаций появится ряд проблем:
Многие компании хотят четко понимать и контролировать то, что устанавливается на их компьютерах. И даже если рассматривать содержимое узла Microsoft Windows Update как доверенное, во многих компаниях политика безопасности запрещает доступ на внешние ресурсы напрямую (в том числе и на Windows Update Server).
Насколько мне известно, невозможно разделить процесс поиска на узле обновлений Microsoft обновлений безопасности Windows Security и драйверов устройств, следовательно, если организация использует свой локальный сервер WSUS, то клиенты будут искать драйвера на внешнем сервере Windows Update Server, и он же будет использоваться для скачивания обновлений Windows. Т.е. использование локального WSUS теряет свой смысл. (Если я не прав, поправьте меня).
Если компания применяет очень жесткую политику по использованию конкретных устройств, то системные администраторы должны обеспечивать актуальность драйверов в локальном хранилище Driver Store на всех клиентах компании.
Но, не смотря на описанные проблемы, существует целый ряд обходных решений. И, как и многие другие настройки Windows, управление установкой драйверов устройств можно управлять при помощи групповой политики.
Как установить устройство в Windows 7 без прав администратора-02
Настройки эти находятся в следующем разделе групповой политики: Computer Configuration \ Administrative Templates \ System \ Device Installation. Параметр в разделе User Configuration \ Administrative Templates \ System \Driver Installation будут игнорироваться, так как он не применим кWindows 7.
Запрещаем клиентам искать драйвера на узле Windows Update
Чтобы запретить клиентам Windows 7 искать драйвера на узле Windows Update, активируйте групповую политику “Specify search order for device driver source locations” и настройте ее – “Do not search Windows Update”.
Как установить устройство в Windows 7 без прав администратора-03
Разрешаем обычным пользователям устанавливать драйвера устройств указанных типов
Параметр групповой политики с именем “Allow installation of devices using drivers that match these device setup classes” (находится в ветке Configuration \ Administrative Templates \ System \ Device Installation \ Device Installation Restrictions IT Administrators) позволяет разрешить обычным пользователям загружать и устанавливать драйвера устройств указанных классов. Это означает, что если IT департамент не в состоянии уследить за пакетами драйверов для принтеров, которые используют пользователи компании, можно разрешить установку драйверов принтеров всем пользователям сети, установку драйвером для других классов устройств же можно запретить.
Как установить устройство в Windows 7 без прав администратора-04
Предварительная загрузка драйверов в хранилище Driver Store в Windows 7
Для ряда широко распространенных внешних устройств администратор может заранее поместить драйвера в хранилище на все системы мобильных пользователей компании. Сделать это можно следующим образом:
Распространить драйвера вместе со стандартным корпоративным образом ОС
Установить драйвера после установки системы клиента – postinstall (MDT, SCCM, WSUS)
Распространение драйверов по требованию, в виде пакета программ
Я не буду подобно расписывать реализацию каждого их этих сценариев, но попробуем разобраться с типовой ситуацией, с которой администратор может столкнуться на практике.
Практически любой пользователь хочет иметь возможность синхронизации своего календаря с мобильным устройством, и если это устройство работает под управлением Windows Mobile, для подключения этого устройства к компьютеру с Windows 7 обязательно будет нужен Windows Mobile Device Center.
Если вы точно не знаете, какой драйвер нужен, позвольте системе самой найти и установить нужный драйвер с узла Windows Update. После окончания установки перейдите в каталог C:\Windows\System32\Driverstore и найдите свеже созданную папку.
Как установить устройство в Windows 7 без прав администратора-05
Теперь вы может просто скопировать это каталог и распространить его по локальным хранилищам драйверов на корпоративные ПК. Другой метод – скачать пакет с драйвером непосредственно (как это сделать описано здесь http://support.microsoft.com/kb/323166) с узла Windows Update Catalogue
Как установить устройство в Windows 7 без прав администратора-06
Вы скачаете примерно следующий файл: X86-ar_bg_zh-tw_cs_da_de_el_en_es_fi_fr_…v_th_tr_sl_et_lv_lt_zh-cn_pt_ja-nec-20060042_b5eca0da489018bbc1930e42252b1034f739af15.cab. Далее этот CAB необходимо распаковать.
Далее я покажу, каким образом можно добавить скачанный драйвер в хранилище драйверов Driver Store Windows 7.
Чтобы добавить драйвер в хранилище, можно воспользоваться утилитой pnputil.exe, набрав примерно следующую команду:
Pnputil –a c:\data\mobile\wcerndis.if_x86_neutral_56159f2c2377f6d2\wcerndis.inf
Как установить устройство в Windows 7 без прав администратора-07
Для тех, кому интересно, что на самом деле происходит при данной процедуре, познакомьтесь с журналом c:\Windows\INF\setupapi.dev.log.
Как установить устройство в Windows 7 без прав администратора-08
Теперь, когда драйвер устройства помещен (pre-staged) в хранилище драйверов Windows 7, мы можем зайти под обычным пользователем и подключить наше мобильное устройство (в данном примере это Samsung Omnia GT8000 с Windows Mobile 6.5).
Как установить устройство в Windows 7 без прав администратора-09
И опять подробный лог того, что происходит в setupapi.dev.log.
Как установить устройство в Windows 7 без прав администратора-10
Как установить устройство в Windows 7 без прав администратора-11
Итак драйвер уже помещен в каталог драйверов системы и после первого подключения устройства к компьютеру он установится и будет доступным к использованию.
Скачивая программы с сайтов разработчиков или других источников, вы, наверное, не раз замечали, что одни из исполняемых файлов этих программ имеют на себе характерную иконку щита, а другие нет. Что это означает? А означает это следующее: если исполняемый файл программы или её ярлык на рабочем столе отмечен этим жёлто-голубым значком, значит данная программа требует прав администратора. В связи с этим у многих пользователей возникает вопрос: а можно ли каким-то образом обойти это ограничение и установить/запустить программу в обычной учётной записи пользователя? Ответ на него будет зависеть от того, для каких целей разрабатывалась программа и с какими объектами файловой системы ей предстоит работать.
Как установить программу без прав администратора
Если в файле манифеста программы чётко прописано, что запускаться/устанавливаться программа должна исключительно с правами администратора, то AsInvoker не поможет. Так, нам так и не удалось установить системный настройщик Winaero Tweaker, а если бы и удалось, мы бы всё равно не смогли им пользоваться. Теперь, когда вы приблизительно знаете, как это работает в теории, перейдём к решению поставленной задачи на практике. Всё очень просто. Создайте Блокнотом обычный текстовый файл и вставьте в него следующий код:
cmd /min /C «set __COMPAT_LAYER=RunAsInvoker && start «» «%1″»
Сохраните файл как install.cmd (имя можно дать произвольное, главное, чтобы расширение было CMD или BAT), а затем перетащите на созданный скрипт установочный файл программы, которую хотите установить без прав администратора. На секунду на экране появится окно командной строки, а затем запустится мастер-установщик приложения. Когда вы дойдёте до шага «Папка установки», вам нужно будет заменить стандартный путь C:\ProgramFiles\название-программы другим путём, ведущим к какому-нибудь каталогу в профиле пользователя. Например, вы можете создать папку Programs в расположении %userprofile% и. 
В неё то и нужно устанавливать программы, поскольку на стандартную папку ProgramFiles у вас всё равно нет прав. Ярлык установленной программы на рабочем столе и в меню создан, скорее всего, не будет, поэтому вам потребуется зайти в папку с инсталлированным приложением и создать его вручную. 
Теперь что касается минусов данного решения. Весьма вероятно, что установленные программы не смогут сохранять часть своих настроек, если по умолчанию они должны хранится в тех ключах реестра, которые обычный пользователь не может изменять по причине отсутствия у него прав администратора.
Использование AsInvoker в учётной записи администратора
И в завершении хотелось бы сказать пару слов о том, что AsInvoker даёт администратору. Когда вы работаете в учётной записи администратора, все программы запускаются с правами вашей учётной записи (не путайте это, пожалуйста, с запуском программ от имени администратора, то есть с повышением привилегий в рамках одной учётной записи).
А теперь предположим, что у вас есть программа, которой вы не хотите предоставлять права вашей учётной записи. Чтобы не создавать обычную учётную запись, вы можете воспользоваться функцией. Чтобы продемонстрировать разницу между запущенной обычным способом программой (в примере использовался штатный редактор реестра) и той же программой, запущенной через скрипт с прописанным в нём уровнем прав родительского процесса, мы добавили в Диспетчер задач дополнительную колонку «С повышенными правами».
В первом случае напротив процесса в этой колонке указано «Да», а во втором — нет, то есть редактор реестра запустился с пониженными привилегиями. Поскольку запущенный в таком режиме regedit утрачивает часть своих полномочий, некоторые ключи реестра окажутся недоступными для редактирования. Это же касается любой другой программы. Не имея соответствующих прав, такая программа, если она окажется небезопасной, уже не сможет перезаписать важные системные файлы и ключи реестра.
Как разрешить пользователям домена устанавливать принтеры
По умолчанию рядовым пользователям домена запрещено устанавливать принтера (если быть более точными, драйвера принтеров) на доменных компьютерах, а для их установки необходимо наличие у пользователя определённых прав. Это правильно с точки зрения безопасности, ведь установка некорректного или вредоносного (поддельного) драйвера устройства может скомпрометировать или ухудшить работу системы, но крайне неудобно с точки зрения ИТ – отдела. Ведь, если пользователям запрещено устанавливать драйвера принтеров на своих компьютерах, эта забота возлагается на администраторов и ИТ-отдел.
В том случае, если ИТ-администраторы предприятия все-таки решили разрешить пользователям самостоятельно устанавливать драйвера принтеров на своих компьютерах, не предоставляя им прав локальных администраторов, в этой задаче помочь им могут групповые политики Active Directory.
Итак, предполагается, что имеется разнородная сеть и нам необходимо разрешить пользователям самостоятельно подключать сетевые и локальные принтера, и устанавливать их драйвера как на ПК с Windows 7, так и с Windows XP.
Итак, создайте (или отредактируйте существующую политику) и привяжите ее к OU (контейнеру Active Directory), в котором содержатся компьютеры, на которых политикой необходимо разрешить пользователям установку драйверов принтеров (на отдельно стоящем компьютере эту же политику можно реализовать с помощью локальной политики).
Данная политика подразумевает, что при подключении сетевого принтера, система позволяет пользователю, не обладающего правами администратора, установить драйвера сетевых принтеров.
Включите данную политику, затем зададим типы устройств, которые разрешено пользователям устанавливать самостоятельно (подробнее о принципах установки драйверов в Windows 7 без прав локального администратора). Нажмите кнопку Show, и в появившемся окне добавьте две строки (идентификаторы классов, соответствующие устройствам типа принтер):
Полный список кодов GUID классов устройств в ОС Windows доступен тут:
http://msdn.microsoft.com/en-us/library/ff553426%28v=VS.85%29.aspx
Сохраните изменения в политике.
Следующий момент касается особенностей работы UAC при установке сетевого принтера в Windows Vista и Windows 7. В том случае, если UAC включен, появляется сообщение, в котором требуется указать учетные данные администратора, если же UAC отключен при попытке установить принтер пользователем– система надолго задумывается, и в конце концов выдает сообщение об ошибке: “Windows не удалось подключиться к принтеру. Отказано в доступе”.
Осталось сохранить изменения и протестировать политики на клиентах (потребуется перезагрузка). После перезагрузки и применения групповых политик пользователю будет разрешено самостоятельно устанавливать локальные и подключать сетевые принтера.
Для повышения стабильности и безопасности системы рекомендуется также включить изоляцию драйверов принтеров в Windows 7.
[Конспект админа] Что делать, если программа хочет прав администратора, а вы нет
К сожалению, в работе сисадмина нет-нет да и приходится разрешать пользователям запускать всякий софт с админскими правами. Чаще всего это какие-нибудь странные китайские программы для работы с оборудованием. Но бывают и другие ситуации вроде небезызвестного bnk.exe.
Выдавать пользователю права администратора, чтобы решить проблему быстро и просто, противоречит нормам инфобезопасности. Можно, конечно, дать ему отдельный компьютер и поместить в изолированную сеть, но — это дорого и вообще…
Попробуем разобрать решения, которые позволят и программу запустить, и безопасника с финансистом не обозлить.
Ну, и зачем тебе права?
Программа может запрашивать права администратора условно в двух случаях:
С первым случаем все понятно: берем в руки замечательную программу Марка Руссиновича Process Monitor, смотрим, что происходит, и куда программа пытается залезть:
Куда это лезет этот 7Zip?
И по результатам исследования выдаем права пользователю на нужный каталог или ветку реестра.
Сложнее, если случай клинический, и так просто выдать права не получится: например, программа требует сильного вмешательства в работу системы вроде установки драйверов. Тогда придется придумывать всякий колхоз, про который речь пойдет в последнем разделе статьи. Пока подробнее освещу второй случай — когда стоит флажок.
Если сильно упростить, то в специальном манифесте программы (к слову, установщики — это тоже программы) могут быть три варианта запуска:
Если разработчик твердо решил требовать права администратора, даже если они не нужны, то обойти это можно малой кровью.
Нет, не будет тебе прав
В системе Windows, начиная с Vista, появилась служба UAC, которая помимо прочего отвечает за запросы программ на повышение прав. Не все программы «переваривали» работу с этой службой. Поэтому в системе был доработан механизм совместимости приложений, позволяющий прямо задать программе ее поведение — запрашивать права или нет.
Простейшим вариантом работы с этим механизмом будет использование переменных среды.
Рассмотрим пример с редактором реестра. Действительно, запуская regedit.exe под администратором, мы получаем запрос на повышение прав:
Запрос повышение прав.
Если же мы запустим редактор реестра из консоли, предварительно поменяв значение переменной среды __COMPAT_LAYER на:
То запроса UAC не будет, как и административных прав у приложения:
Бесправный редактор реестра.
Этим можно пользоваться, запуская программы батниками или добавляя контекстное меню через реестр. Подробнее читайте в материале How to Run Program without Admin Privileges and to Bypass UAC Prompt?
С конкретным примером такой неприятной программы можно столкнуться при загрузке классификаторов банков из 1С с сайта РБК по ссылке http://cbrates.rbc.ru/bnk/bnk.exe. Если обновление классификаторов отдается на откуп самим пользователям и нет возможности поменять загрузку на bnk.zip (а современные 1С это поддерживают), то приходится придумывать костыли. Ведь bnk.exe — самораспаковывающийся архив, в котором зачем-то прописано «Требовать права администратора».
Поскольку ярлычками тут обойтись не выйдет, ведь 1С сама скачивает файл и запускает его, то придется применять тяжелую артиллерию — Microsoft Application Compatibility Toolkit.
Документация к ПО, как обычно, доступна на официальном сайте, загрузить можно как часть Windows Assessment and Deployment Kit. Сам процесс решения проблемы несложен.
Необходимо поставить утилиту, запустить Compatibility Administrator и создать Application Fix в новой или имеющейся базе данных:
Создаем исправление приложения.
Имя и издатель значения не имеют. Имеет значение только расположение файла — тут нужно указать реальный проблемный bnk.exe (где он будет лежать на самом деле — не важно).
Далее необходимо в списке исправлений выбрать RunAsInvoker.
Выбираем нужный фикс.
Все остальное оставляем по умолчанию, сохраняем базу данных. Должно получиться примерно так:
Созданный фикс для bnk.exe.
После этого достаточно будет установить базу данных, щелкнув по ней правой кнопкой и выбрав Install. Теперь пользователи смогут сами грузить классификаторы банков.
Все становится хуже, если приложению действительно нужны права админа. Тогда добавление прав на системные объекты и исправления не помогают.
Ну ладно, держи права
Казалось бы, самым очевидным решением для запуска нашего странного ПО выглядит использование встроенной утилиты Runas. Документация доступна на сайте Microsoft.
Ну, посмотрим, что из этого выйдет.
Действительно, RunAs запустит 7zip с правами учетной записи «Администратор», спросит пароль и запомнит его. Потом ярлык с такой строкой запуска будет запускать 7zip под Администратором без вопросов.
)
Есть один существенный недостаток: пароль запоминается на уровне системы, и теперь, используя команду Runas, можно будет запускать абсолютно любую программу. Это мало чем отличается от прямого предоставления админских прав сотрудникам, так что использовать это решение не стоит.
Зато runas может быть полезен, когда сотрудник знает пароль администратора, но работает под ограниченной учетной записью (по идее так должен делать каждый системный администратор).
Если мы начали с консольных команд, то перейдем к более высокоуровневым скриптам. Интересное решение было предложено в статье «Планктонная Windows», где упомянутый выше Runas обвязывался js-скриптом и пропускался через обфускатор. У решения есть и очевидный минус — скрипт можно раскодировать.
Чуть более интересным методом в 2к20 являются возможности PowerShell и его работа с паролями. Подробнее можно почитать в материале «Защита и шифрование паролей в скриптах PowerShell».
Если вкратце: в PS работа с паролями производится через специальный тип данных SecureString и объект PSCredential. Например, можно ввести пароль интерактивно:
Затем сохранить пароль в зашифрованном виде в файл:
И теперь использовать этот файл для неинтерактивной работы:
К сожалению, файл этот можно использовать только на том ПК, на котором его создали. Чтобы этого избежать, можно сделать отдельный ключ шифрования. Например так:
Теперь при помощи этого ключа пароль можно зашифровать:
В свое время я использовал для решения подобных задач свой любимый AutoIt, где компилировал скрипт с командой RunAs и радовался… До тех пор, пока не узнал, что AutoIt (особенно старых версий) декомпилируется на раз-два.
Другим интересным вариантом может быть применение назначенных заданий — если создать назначенное задание от админского аккаунта, пользователю для работы будет достаточно его запуска. К сожалению, для интерактивной работы с приложением это решение не подходит.
На свете существует несколько сторонних решений, призванных решить задачу. Остановлюсь на парочке из них.
Пожалуй, одна из самых известных утилит — это AdmiLink, разработанная Алексеем Курякиным для нужд ядерной физики. Программа и принципы ее работы описаны на официальном сайте. Я, как обычно, позволю себе более краткое описание.
Программа состоит из трех модулей. AdmiLink — это графическое окно, где можно создать ярлык на нужное приложение (в принципе, в ряде случаев достаточно только его).
Основное окно программы.
Помимо непосредственно создания ярлыка (и да, запрос UAC тоже можно подавлять), есть и дополнительные функции вроде калькулятора, терминала и удобных настроек политик безопасности. Со всеми возможностями программы читателю предлагается разобраться самостоятельно.
Второй модуль называется AdmiRun и представляет из себя консольную утилиту. Она умеет запускать приложения от имени администратора, получив в качестве одного из параметров строку, созданную через AdmiLink. В строке шифруется имя пользователя и пароль, при этом участвует и путь к программе.
На первый взгляд все выглядит безопасно, но, к сожалению, код программ закрыт, и насколько можно доверять разработчику — вопрос.
Третий модуль — AdmiLaunch — отвечает за запуск окон в разных режимах, и он используется для запуска AdmiRun, если создавать ярлык через AdmiLink.
В целом, решение проверено годами и поколениями отечественных системных администраторов. Но добавлю и альтернативу из-за рубежа.
RunAsRob — довольно интересное ПО за авторством немецкого разработчика Оливера Хессинга (Oliver Hessing). В отличие от AdmiLink, ПО устанавливается как служба, запускаемая под привилегированной учетной записью (администратора или системы). Как следствие, подготовленный ярлык обращается к службе, которая уже в свою очередь запускает заданное ПО.
Особенность программы в том, что есть возможность авторизовать не только программы, но и папки (включая сетевые). А хранение настроек в реестре позволило добавить шаблоны групповых политик, примерно как мы писали в статье «Погружение в шаблоны и приручение GPO Windows». Благодаря этому при необходимости настройки можно применять прямо из Active Directory.
Основное окно программы.
Программа богато документирована на официальном сайте.
У этого автора есть еще и программа RunAsSpc, позволяющая запускать исполняемые файлы под правами другого пользователя, передавая учетные данные через зашифрованный файл.
Мне остается только добавить, что это ПО бесплатно только для личного использования.
Но учтите, что из программы, запущенной под административными правами, можно натворить бед. Например, запустить привилегированную командную консоль через диалог Файл — Открыть.
Запускаем cmd.exe прямо из редактора реестра.
Немного защититься помогут политики запрета контекстного меню и прочих диспетчеров задач, часть из которых может настроить AdmiLink. Но в любом случае следует быть осторожным.
А вам приходилось городить странные костыли? Предлагаю делиться историями в комментариях.