Запуск программ от имени другого пользователя

Утилита командной строки Runas позволяет запускать программы с использованием учетных данных другого пользователя. Для запуска приложения с параметром заключите их в кавычки. Например, для запуска программы application.exe /option от имени пользователя Kim_Akers на компьютере Canberra необходимо ввести команду:

Runas /user:CanberraKim_Akers «application.exe /option»

Введя эту команду, вы должны также ввести пароль целевой учетной записи. После этого приложение запускается в контексте безопасности указанного пользователя. По умолчанию, а также при указании параметра /profile, загружается профиль целевого пользователя. Это позволяет получить доступ к файлам, зашифрованным для учетной записи целевого пользователя, поскольку сертификаты EFS хранятся в профиле пользователя. Используйте параметр /noprofile, чтобы не загружать профиль.

Параметр /savecred позволяет сохранить учетные данные целевого пользователя. При первом использовании параметра /savecred вы должны ввести пароль. Чтобы получить доступ к сохраненным учетным данным при будущих вызовах Runas, используйте параметр /savecred с именем учетной записи:

Runas /savecred /и$ег:имя_компьютераимя_пользователя «apDlication.exe /option-»

Сохраненные учетные данные хранятся в хранилище Windows, и ими можно управлять в Диспетчере учетных данных (Credential Manager).

Команду Runas нельзя использовать для запуска административного приложения, если учетная запись целевого пользователя настроена на выдачу запроса согласия или запроса учетных данных. Команду Runas можно использовать для запуска приложения, требующего повышения, если в качестве учетной записи целевого пользователя указана встроенная учетная запись администратора. По умолчанию она выключена, но ее можно включить при помощи групповой политики. Для запуска редактора локальной групповой политики от имени встроенной учетной записи администратора (при условии что она была активирована) используйте команду:

runas /useradministrator «mmc gpedit.msc»

Настройка прав пользователя

Права пользователя настраиваются в узле Конфигурация компьютераКонфи-гурация Windows apaMCTpbi безопасностиЛокальные политикиНазначе-ние прав пользователя (Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment) редактора локальной групповой политики. В узле содержится 44 политики, большая часть которых относятся к функциям ОС, которые не входят в программу экзамена 70-680. Большинство администраторов настраивают права пользователей, добавляя пользователей в конкретные локальные группы, не изменяя групповые политики прав конкретных пользователей. Например, чтобы разрешить пользователю создать резервные копии файлов и папок, достаточно просто включить его в группу Операторы архива (Backup Operators), а не изменять политику Архивация файлов и каталогов (Back Up Files and Directories). To же самое касается и использования удаленного рабочего стола. Вы вольны добавить учетную запись пользователя в группу Пользователи удаленного рабочего стола (Remote Desktop Users) или изменить политику Разрешить вход в систему через службу удаленных рабочих столов (Allow Log On Through Remote Desktop Services). Как правило, лучше добавить пользователя в соответствующую локальную группу, поскольку полномочия конкретных пользователей проще отслеживать, изучив их членство в группах, а не разбираясь в настройках групповых политик. В Windows 7 имеются следующие встроенные группы, предоставляющие пользователю какие-либо особые права:

· Администраторы (Administrators) Члены этой группы имеют неограниченный доступ к клиенту Windows 7.

· Криптографические операторы (Cryptographic Operators) Члены этой группы могут выполнять криптографические операции. Данная политика используется только при развертывании Windows 7 в специальной конфигурации, называемой режимом общих критериев (common criteria mode). В этом режиме администраторы могут читать и записывать все параметры, за исключением параметров, относящихся к криптографии политики IPsec.

· Операторы архива (Backup Operators) Члены этой группы могут обходить ограничения доступа к файлам и папкам в целях создания резервных копий.

· Операторы настройки сети (Network Configuration Operators) Члены этой группы могут изменять параметры TCP/IP.

· Опытные пользователи (Power Users) Эта группа включена для совместимости с предыдущими версиями.

· Пользователи DCOM (Distributed COM Users) Пользователи этой группы могут манипулировать объектами распределенной модели DCOM на данном компьютере.

· Пользователи журналов производительности (Performance Log Users) Эти пользователи могут планировать запись счетчиков производительности, активировать поставщики трассировки (trace providers) и собирать данные трассировки событий.

· Пользователи системного монитора (Performance Monitor Users) Эти пользователи имеют удаленный и локальный доступ к данным счетчиков производительности.

· Пользователи удаленного рабочего стола (Remote Desktop Users) Пользователи этой группы могут входить в систему через удаленный рабочий стол.

· Репликаторы (Replicators) Эта группа используется для поддержки репликации в домене.

· Читатели журнала событий (Event Log Readers) Члены этой группы могут читать журналы событий.

Access Control List или ACL — список контроля доступа, который определяет, кто или что может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом.

Дата добавления: 2014-01-20; Просмотров: 536; Нарушение авторских прав?; Мы поможем в написании вашей работы!