Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Компьютеры и программы

Командная строка Windows для запуска от имени текущего пользователя после запуска команды/батч-скрипта от другого пользователя в рамках одного и того же скрипта?

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Возможное решение с использованием PowerShell
  4. Шаги по внедрению
  5. Альтернативные решения
  6. Вывод

Вопрос или проблема

У меня есть пакетный скрипт для Windows, который автоматически запускается при входе в систему как определенный администратор (не тот же пользователь, который вошел в систему) для всех стандартных пользователей.

Внутри того же скрипта мне нужно проверить их членство в группе (вызывая exe с конкретной группой в качестве параметра) для текущего вошедшего в систему пользователя, т.е. пользователя, который вошел в Windows, и для которого отображается оболочка скрипта.

Затем в зависимости от результата вышеуказанной проверки продолжить обработку того же скрипта, используя права начального администратора, т.е. для установки программного обеспечения.

Существует ли способ сделать это без запроса учетных данных, исключительно через командную строку или, возможно, даже PowerShell (вызванный изнутри скрипта)?

Я ищу полностью не интерактивный опыт для пользователя, так как это должно быть применимо к примерно 9000 пользователям.

Любая помощь будет оценена. Спасибо.

Runas команда имеет ключ /savedсred, но для каждого нового пользователя вам все равно необходимо ввести пароль (один раз).

Есть способ в PowerShell:

  1. Используйте ConvertTo-SecureString для шифрования пароля
  2. Создайте объект учетных данных
  3. Запустите приложение с помощью Start-Process

$secstring = ConvertTo-SecureString -String $password -AsPlainText -Force

$credentials = New-Object System.Management.Automation.PSCredential -ArgumentList @($username,$secstring)

Start-Process <полный путь к файлу> -WorkingDirectory <рабочая директория> -Credential ($credentials)

Но securestring, зашифрованный на одном компьютере, не может быть расшифрован на другом (если вы не шифруете с известным ключом с помощью параметра -Key) На самом деле, вам придется разместить учетные данные в теле вашего скрипта.

Ответ или решение

Для решения вашей задачи, когда вам необходимо запустить командный файл от имени текущего пользователя, находящегося в системе, без запроса учетных данных, важно понимать, что стандартные методы, такие как команда runas, требуют ввода пароля при каждом новом пользователе, что недопустимо в вашем случае.

Возможное решение с использованием PowerShell

PowerShell предлагает более гибкие возможности, которые можно использовать для достижения поставленной цели. Вы можете запустить приложение от имени текущего пользователя, используя команду Start-Process. Однако, для работы с учетными данными вам нужно будет заранее определиться с правильным подходом к хранению и передаче паролей.

Шаги по внедрению

  1. Создание учетных записей: Убедитесь, что учетная запись администратора, от имени которой будет выполняться скрипт, существует и ей предоставлены соответствующие права.

  2. Сохранение пароля в компьютере: Создайте SecureString в PowerShell, который будет хранить пароль администратора, а затем создайте объект PSCredential, который включает этот пароль. Обратите внимание, что SecureString зашифрован локально и не может быть использован на других машинах без дополнительной настройки. 

    $username = "AdminUser"
$password = "AdminPassword"
$secstring = ConvertTo-SecureString -String $password -AsPlainText -Force
$credentials = New-Object System.Management.Automation.PSCredential -ArgumentList @($username, $secstring)

  3. Запуск проверок группы: Запустите программу для проверки членства в группе от имени текущего пользователя. Эта команда будет выполнена под учетными данными, которые были заданы выше.

    Start-Process "C:\Path\To\YourExecutable.exe" -ArgumentList "ParameterForGroupCheck" -Credential $credentials

  4. Обработка результатов: После выполнения проверки, вы сможете продолжить выполнение того же сценария, основываясь на результатах проверки группы. Обратите внимание, что часть логики, связанная с обработкой результатов, должна быть добавлена в скрипт после выполнения команды выше.

  5. Необходимо помнить о безопасности: Хранение паролей в виде текста в скрипте – не самая безопасная практика. Рассмотрите возможность использования централизованных решений для управления учетными записями или более защищенных методик.

Альтернативные решения

  1. Task Scheduler: Если вы должны выполнять определенные задачи от имени других пользователей, вы можете использовать Планировщик задач Windows для задания выполнения сценариев от имени определенного пользователя, избегая при этом необходимости вводить учетные данные каждый раз.

  2. GPO (Group Policy Objects): Для больших организаций рассмотрите варианты использования групповая политика для настройки скриптов при входе в систему для выполнения определенных задач.

  3. Использование систем автоматизации: Инструменты вроде SCCM могут помочь вам в развертывании программного обеспечения и управлении доступами без вмешательства пользователей.

Вывод

Автоматизация управления пользователями в Windows окружении является сложной задачей, требующей тщательного планирования и тестирования. Использование PowerShell предоставляет гибкость и возможности, однако важно учитывать вопросы безопасности при работе с паролями и учетными данными. Убедитесь, что вы тестируете сценарии на небольшом количестве пользователей, прежде чем развернуть их на сотнях или тысячах аккаунтов.

batch command-line powershell runas windows
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности