Вопрос или проблема
Это на Windows 10 и в домене.
У нас есть ярлык, который вызывает .exe файл, требующий прав администратора по UAC.
Я хотел бы иметь возможность запускать приложение без прав администратора или предоставить стандартному пользователю права администратора только для этого .exe. Что мы сделали и не смогли добиться успеха.
- Свойства приложения >> безопасность >> Дополнительно >> Разрешения >> Полный доступ
локальной группе A (в которую входит пользователь) и самому пользователю. - Передал права собственности на папку локальной группе A.
- Я посмотрел в Regedit и вижу пользователя, у которого есть полный доступ к этому приложению.
- Проверил запуск от имени администратора, а также снял эту галочку.
Мы не хотим использовать /savecred из-за риска безопасности. Какие еще шаги мы можем предпринять для поиска решения.
Если вы пытаетесь предоставить им учетные данные администратора для запуска программы из-за политики ограничения программного обеспечения, лучше всего определить доверенный путь к скрытой папке и поместить программу туда.
Вы также можете рассмотреть возможность использования локальной учетной записи администратора для /savecred.
Ответ или решение
Для решения проблемы с запуском приложения с правами администратора для стандартного пользователя в Windows 10 на домене, без предоставления полной административной привилегии, можно рассмотреть несколько подходов. Ниже приведены несколько предложений:
1. Создание задачи в планировщике задач
Вы можете создать задачу в планировщике задач, которая будет запускать ваше приложение с правами администратора. Вот шаги для реализации этого метода:
- Откройте Планировщик задач (Task Scheduler) от имени администратора.
- Выберите "Создать задачу" (Create Task).
- На вкладке "Общие" (General) задайте имя задачи и установите флажок "Запускать с наивысшими правами" (Run with highest privileges).
- На вкладке "Триггеры" (Triggers) создайте триггер, выбирая "При входе в систему" (At log on) или другой подходящий способ.
- На вкладке "Действия" (Actions) выберите "Запустить программу" (Start a program) и укажите путь к вашему .exe файлу.
- Сохраните задачу.
Теперь стандартный пользователь сможет запускать приложение через созданную задачу, без необходимости вводить учетные данные администратора.
2. Использование Group Policy (GPO)
Если у вас есть доступ к группе политик, то вы можете настроить политику, позволяющую запускать определенные приложения с повышенными правами. Для этого:
- Откройте редактор локальных групповиков (Group Policy Editor).
- Перейдите к
User Configuration -> Administrative Templates -> System. - Найдите параметр "Не показывать UAC для определенных программ" и добавьте путь вашего .exe файла в список.
Обратите внимание: этот вариант может быть недоступен в некоторых версиях Windows и может требовать дополнительных настроек безопасности.
3. Исполнение программы через файл .bat с правами администратора
Можно создать пакетный файл (.bat), который будет запускать нужное приложение с правами администратора. Вот образец такого файла:
@echo off
setlocal
set "appPath=C:\path\to\your\application.exe"
runas /user:admin "cmd /c start "" "%appPath%""
endlocalПользователь должен будет ввести пароль администратора при каждом запуске, но этот метод не требует настройки UAC.
4. Подбор альтернативного программного обеспечения
Если указанные решения не решения проблемы, возможно, вам стоит рассмотреть возможность использования альтернативного программного обеспечения, которое не требует прав администратора. Компенсация этого требования может значительно упростить управление.
Заключение
Ни один из подходов не является универсальным, и его эффективность может зависеть от конкретной конфигурации системы, а также от политик безопасности вашей организации. Проверьте каждый из предложенных вариантов и выберите наиболее подходящий для вашей ситуации. Если это возможно, проконсультируйтесь с IT-отделом вашей организации для обеспечения соблюдения всех политик безопасности.