Необходимы права администратора и выполнение сеанса консоли


Для использования программы sfc необходимы права администратора

Парой при запуске команды SFC, а точнее SFC /scannow в командной строке пользователь получает сообщение о необходимости наличия прав администратора, хотя при этом учетная запись, из под которой происходит запуск, имеет права администратора. Что делать в этой ситуации и как обойти данную ошибку мы расскажем в данной статье.

Что такое SFC?

Данная аббревиатура расшифровывается как System File Checker. Является специальной сервисной системной утилитой, которая проверяет все жизненно важные для работы операционной системы файлы и, в случае обнаружения каких – либо проблем с ними, восстанавливает их.

Ее рекомендуют запускать из командной строки, когда наблюдаются проблемы с работой компьютера. К примеру, когда не работает какая – нибудь системная библиотека или программы при запуске требуют какие – то системные файлы.

Что делать, чтобы обойти ошибку “Для использования программы sfc необходимы права администратора”?

Вариант решения такой же, как и в случае с ошибкой “Отказано в доступе: недостаточно привилегий“, которая появляется при запуске команды chkdsk также из командной строки. Нужно всего лишь запустить командную строку от имени администратора.

Для этого в меню “пуск” или в поиске Windows 10, когда вы набираете “CMD”, нужно кликнуть по нему правой кнопкой мыши и в открывшемся меню выбрать “Запуск от имени администратора”.

Запуск командной строки в Windows 10 от имени администратора

Запуск Командной строки от имени администратора

Подробный процесс запуска командной строки от имени администратора описан в данной статье.

helpadmins.ru

Для использования программы sfc необходимы права администратора

При запуске утилиты SFC в командной строке она предварительно проверяет, соблюдены ли условий для проведения сканирования. В том числе, достаточно ли прав для ее запуска у текущей учетной записи, с какой среды отправляется запрос и многое другое. Поэтому в случае обнаружения несоответствий при выполнении sfc /scannow можно столкнуться с разными неполадками. Чаще всего при запросе сканирования средство возвращает ошибку «Для использования программы sfc необходимы права администратора».

Чем вызвана ошибка?

Это сообщение указывает на то, что вы пытаетесь получить доступ к системным файлам через командную строку, но у вас нет требуемых разрешений. Если вызовите консоль c помощью поиска Windows или из окна «Выполнить» и после этого нажмете на «Открыть» или Enter, она запустится в обычном режиме. Но когда запустите от имени администратора, она откроется со всеми правами. Поэтому когда нужно внести изменения или запустить системные файлы, откройте CMD в режиме полного доступа.

Запуск от имени администратора

Для сканирования ОС утилитой SFC, вызовите командную строку из панели поиска от имени администратора или из меню Win + X. Поскольку это системная команда для выполнения требуются повышенные разрешения.

Когда столкнетесь с ошибкой нужно закрыть консоль.

Затем в поисковой панели наберите cmd, при отображении искомого результата запустите с администраторскими правами.

Если запускаете cmd из окна «Выполнить» (Win + R), то для предоставления ей разрешений нажмите CTRL + SHIFT + Enter. При отображении запроса от контроля учетных записей пользователей (UAC) подтвердите его нажатием «Да».

Теперь при выполнении sfc /scannow, ошибка не будет препятствовать проведению проверки.

Установка администраторских прав по умолчанию

Можно заставить консоль постоянно запускаться с администраторскими правами. Для этого выполните указанные шаги:

В поле поиска впишите cmd, при появлении результата щелкните на него правой кнопкой мыши и выберите «Отправить – Рабочий стол».

Теперь кликните правой копкой мыши на ярлык и выберите Свойства. На вкладке Ярлык нажмите на Дополнительно и отметьте указанную опцию.

Сохраните изменения на «ОК». Теперь при двойном щелчке по ярлыку, интерфейс будет открываться с повышенными разрешениями.

instcomputer.ru

9 способов запустить от имени администратора любую программу

В операционной системе Windows при определенных ситуациях средства необходимо использовать с повышенными привилегиями. Так нужно из-за действий, приводящих к изменениям на системном уровне и обычным пользователям (не админам) это не нужно. В статье я расскажу про запуск от имени администратора любого приложения на компьютере.

При запуске программ с повышенными правами возникает окошко, в котором нужно подтвердить запуск – UAC учетных записей. Некоторые пользователи отключают эту функцию вообще. Таким образом страдает безопасность компьютера. Ведь не появись предупреждающее окошко UAC, любая вредоносная зараза сможет стартовать с вашего компьютера от имени администратора. «Плохой» код и пиши пропало.

Чтобы облегчить пользователям запуск программ от имени администратора я подготовил парочку методов.

Запуск от имени администратора с помощью контекстного меню

Контекстное меню вызывается правой кнопкой мышки. Жмём по любой программе мышкой и из контекстного меню нажимаем по опции «Запуск от имени администратора». Так открывается командная строка и прочая программа, где необходимы повышенные привилегии.

Использование сочетания Ctrl+Shift+Enter при поиске

Когда на рабочем столе или в меню Пуск нет какого-либо инструмента мы обращаемся к поиску. Любая версия Windows оснащена им, а в десятой он наиболее удобен. Пропишите какую-нибудь команду, например, cmd – командная строка. Выбрав результат одновременен зажимаем комбинацию Ctrl+Shift+Enter. Простой способ не так ли?

Дополнительные свойства ярлыка

Допустим, вас интересует вопрос, как запустить командную строку от имени администратора. Значок уже расположен на рабочем столе в качестве быстрого доступа, но вы не желаете всё время запускать контекстное меню. Эту проблемку решить можно.

Заходим в свойства ярлыка (правая кнопка мышки и Свойства) и идём в раздел «Дополнительно».

Откроются дополнительные параметры. Там отметьте галочкой параметр «Запуск от имени администратора». Теперь при обычном запуске программы она всегда откроется с повышенными правами.

Дополнительно! В свойствах на вкладке «Совместимость» есть опция «Запускать эту программу от имени администратора». Тоже полезная вещица.

Это интересно: Скрытая учетная запись администратора Windows 10

Программы для запуска от имени администратора

Существует следующие программы: RunAs, AdmiLink, ExecAS.

Инструмент RunAs

Он является частью Windows, поэтому им можно пользоваться. Чтобы её запустить достаточно открыть командную строку и ввести следующую команду:

runas /user:ИмяПК\ИмяПользователя msconfig.exe

Скорее всего появится просьба о вводе пароля. Обязательно вводим.

Дальше должно появится окошко конфигурации системы. Вместо указанной утилиты используйте cmd.exe или прочие утилиты.

Давайте создадим ярлык на рабочем столе. Нажимаем правой кнопкой мышки на пустой области и выбираем «Ярлык». В качестве расположения прописываем ту самую команду:

runas /user:ИмяПК\ИмяПользователя msconfig.exe

Даем название ярлыку и сохраняем.

   

После запуска ярлыка откроется командная строка, где надо ввести пароль от учетной записи. При вводе правильных данных сразу же запуститься msconfig или утилита, которую вы выбрали.

При таком раскладе вы или люди, имеющие доступ к ПК, будут каждый раз вводить пароль. Этот момент решается добавлением в команду параметра /savecred, тогда команда будет такой:

runas /savecred /user:ИмяПК\ИмяПользователя msconfig.exe

Если вы думаете о безопасности, то подобные ярлыки с такой опцией лучше не использовать. Лучше каждый раз вводить пароль и не беспокоится, что какой-то нахал воспользуется средствами Windows без пароля в угоду себе и во вред вам.

Использование инструмента ExecAS

Запуск от имени администратора возможен программкой ExecAS. После запуска возникает окошко с предложением ввести информацию об учетной записи (логин и пароль), а еще имя программы и путь. После ввода данных жмём «Записать».

В окошке ExecAS появился наш подопытный кролик, Закройте программу и откройте заново. Сразу же откроется та программа, указанную нами в ExecAS. Чтобы добавить дополнительное приложение нужно в командной строке прописать ExecAS.exe /S. (При этом нужно находиться в каталоге с утилитой, к примеру, C:\ExecAS).

Запустив ExecAS, добавляем еще какую-либо программку. Закрываем инструмент и опять запускаем. Появляется тоже самое окно. Но так нам не удобно, поэтому перейдем к созданию ярлыков:

Делаем два ярлыка с такими командами:

  • C:\ExecAS\ExecAS.exe 1
  • C:\ExecAS\ExecAS.exe 2

Числа 1 и 2 отвечают ща номер программы в ExecAS.

Запустив ярлыки, мы видим, что они открылись от имени администратора.

Использование утилиты AdmiLink

Указанная в заголовке утилита является консольной, и после инсталляции будет находиться в каталоге Windows.

Запускаем инструмент и видим вполне удобное окошко с русским интерфейсом, поэтому разобраться будет легко.

  • В первом поле вводим путь до файла, который хотим запускать;
  • Параметры командной строки во втором поле заполнять необязательно;
  • Третья строчка будет заполнена самостоятельно, если это не так, впишите С:\windows\system32
  • Режим отображение окна. В 4 строчке есть 2 параметра:
    • SHOW – стандартной запуск ПО с видимым окном;
    • HIDE – работа ПО в фоновом режиме;

Настраиваем параметры на вкладке Account:

  • В качестве имени домена пишем имя своего ПК, либо NetBios и test.lan;
  • Имя пользователя – можно выбрать, нажав на кнопку с тремя точками;
  • Пароль от учетной записи и подтвердить.
  • Введя все данные, нажмите кнопку «Тестировать».

Утилита проверит работоспособность указанной нами информации. Жмём любую клавишу в CMD.

После удачного теста нажмите кнопочку «Сгенерировать ключ запуска AdmiRun». Если этого не сделать, то ничего не будет работать.

  • Идём на вкладку «Link» и делаем следующее:
  • Имя ярлыка – называем любым именем;
  • Каталог – указываем, где будет расположен ярлык;
  • Картинка – выбираем изображение для ярлыка;
  • Жмём кнопку «Сгенерировать командную строку».
  • Теперь нажимаем большую кнопку «Создать Ярлык сейчас!».

Значок сразу же появится на рабочем столе или каталоге, который вы указали.

Пробуем запустить ярлык. Если всё удачно и программа запустилась от имени админа, то поздравляю. Иначе неверно выполнены действия на каком-то шаге.

Если зайти в свойства ярлыка и изменить программу в поле «Объект» на другую, то она попросту не запуститься. Это небольшая защита от вредоносов.

Планировщик заданий

Запустить программу от имени администратора, достаточно использованием инструмента «Планировщик заданий». Здесь есть один нюанс – если вы не админ, то воспользоваться им не удастся.

Введите в поиске всего два слова: «Планировщик заданий» и откройте результат. В окне справа выбираем пункт «Создать задачу».

Назовите её соответствующим именем, допустим, вы запускаете командную строку, тогда можно назвать CMD. Также ставим галку «Выполнить с наивысшими правами».

На вкладке «Действия» нажмите кнопочку «Создать».

Выберите действие (в нашем случае запуск программы). Нажмите «Обзор» и выберите запускаемую утилиту. Если вы запускаете командную строку, то путь будет таким: С:\Windows\System32\cmd.exe.Теперь нажимаем ОК.

На вкладе «Действия» появилась новая строчка. Отлично, можно нажать ОК.

Этап создания ярлыка

На рабочем столе делаем ярлык и указываем такую команду:

schtasks /run /tn имя_задачи_в_планировщике

имя_задачи_в_планировщике – это имя, которое вы дали в самом начале процесса создания задачи.

Ура, ярлык мы сделали, но это еще не всё. Перейдите в его свойства.

На вкладке «Ярлык» измените значок. Конечно, делать это вы не обязаны.

Дополнение к способу с планировщиком заданий

Для быстрого запуска множества программок, можно использовать утилиту Elevated Shortcut. Вы берёте ярлык или исполняемого файла и перетаскиваете на значок Elevated Shortcut.

Запуск программ из командной строки

Если открыть командную строку от имени администратора указанными выше способами, то запуск всех программ из CMD также позволит открывать их с повышенными правами.

Инструмент Elevate

Скачиваете эту утилиту отсюда и распаковываете. Дальше открываем командую строку и вводим такую команду:

 <путь_к_ Elevate> <путь_к_запускаемому_приложению>

Всё просто, не так ли? И командную строку можно обычным способом запускать, программа всё сделает сама.

Полезные материалы:

Взломать пароль администратора на Windows 10
Как перенести учетную запись на другой компьютер

Выводы

Мы рассмотрели кучу способов по запуску программ от имени администратора. Есть варианты, где требуется ввести пароль – это одно из безопасных решений, ведь каждый раз, когда мы вводим пароль, можно особо не бояться за потерю каких-то данных. Вирусные программы также не смогут запустить инструменты Windows таким способом.

Еще мы рассмотрели программы, позволяющие запускать программы с повышенными правами без пароля. Хоть это и удобно, но вирус или человек сможет запросто использовать программу в нехороших целях. Также вирусы способны поменять объект ярлыка на сторонний вредоносный ресурс или на программный код, который будет паразитировать в Windows. В целом очень о многих методах мы узнали, а какой использовать решать только вам. Всем удачи!

computerinfo.ru

Как запустить cmd с правами администратора?

Частенько возникает ситуация, когда нужно запустить cmd с правами администратора. Однако не так это просто сделать неподготовленному пользователю. Вся проблема в том, что по умолчанию cmd запускается от имени текущего пользователя, для запуска от имени администратора, нужно либо зайти в систему под логином админа, либо сделать кое какую хитрость.

Есть определенный нюанс, который нужно выполнить перед тем как запускать командную строку от имени администратора. Нужно проверить включена ли учетная запись админа, если включена присвоить ей пароль. А теперь давайте разберемся подробнее.

Для начала нужно проверить включена ли у вас учетная запись администратора. Для этого, открываем «Управление компьютером»

переходим в пункт «Локальные пользователи и группы» — «Пользователи«. Как видите, в моем случае учетная запись «Администратор» отключена (на иконке висит стрелка).

Двойным кликом открываем свойства учетной записи и снимаем галку с пункта «Отключить учетную запись»

Жмем «ОК«. Стрелка с иконки админской учетки пропала, значит она включена. Теперь установим пароль. Для этого жмите правой кнопкой мышки по учетной записи «Администратор» и выберите пункт меню «Задать пароль…»

На предупреждение о смене пароля, нажмите «Продолжить» и два раза введите пароль

Готово! Теперь у вас есть учетная запись администратора и вы знаете пароль к ней. Перейдем к следующему этапу.

Запускаем CMD с правами администратора

Открываем командную строку, для этого жмем «Пуск» — «Выполнить«, или сочетание клавиш «Win+R» и введите команду cmd . В открывшемся окне напишите следующее:

runas /profile /user:mymachine\Администратор cmd

(где mymachine — это имя вашего компьютера)

и нажмите клавишу Enter. Командная строка запросит у вас пароль администратора, введите его и дождитесь запуска командной строки с правами администратора. Все было бы хорошо но у меня после ввода вылетела ошибка:

Такая ошибка может появиться в двух случаях. Первый — вы ввели неправильный пароль. Второй — ни разу не было выполнено входа в систему под учетной записью администратора (мой вариант).

Нужно выйти из системы и войти в неё из под учетной записи администратора, так я и сделал

Теперь можно выходить и снова войти под своей учетной записью. Как только войдете под своей учетной записью, попробуйте еще раз запустить cmd под администратором.

И вуаля! Открылось второе окно командной строки из под учетной записи администратора. Теперь вы можете просматривать каталоги, удалять файлы и даже запускать приложения от имени администратора.

Интересные статьи по теме:

faqpc.ru

Необходимы права администратора и выполнение сеанса консоли. Проверка системных файлов Windows

Многие знают, что проверить целостность системных файлов Windows можно с помощью команды sfc /scannow (впрочем, это знают не все), но мало кто знает, как еще можно использовать данную команду для проверки системных файлов.

В этой инструкции я покажу, как осуществить проверку для тех, кто вообще не знаком с данной командой, а после этого расскажу о различных нюансах ее использования, которые, думаю, будут интересны. См. также: (плюс видео инструкция).

Как проверить системные файлы

В базовом варианте, если у вас есть подозрение на то, что необходимые файлы Windows 8.1 (8) или 7 были повреждены или потеряны, вы можете использовать специально предусмотренный для этих случаев инструмент самой операционной системой.

Итак, для проверки системных файлов, проделайте следующие шаги:

Однако, в зависимости от ситуации, может оказаться, что использование проверки системных файлов в таком виде не в полной мере подходит для данного конкретного случая, а потому расскажу о дополнительных возможностях команды утилиты sfc.

Дополнительные возможности проверки с помощью SFC

Полный список параметров, с которыми можно запустить утилиту SFC выглядит следующим образом:

SFC

Что это нам дает? Предлагаю посмотреть по пунктам:

  • Вы можете запустить только проверку системных файлов без их исправления (ниже будет информация о том, зачем это может пригодиться) с помощью sfc /verifyonly
  • Имеется возможность проверить и исправить только один системный файл, выполнив команду sfc /scanfile=путь_к_файлу (или verifyfile, если исправлять не требуется).
  • Для проверки системных файлов не в текущей Windows (а, например, на другом жестком диске) можно использовать sfc /scannow /offwindir=путь_к_папке_windows

Думаю, эти возможности могут быть полезны в самых различных ситуациях, когда требуется проверить системные файлы на удаленной системе, или для каких-то иных непредвиденных задач.

Возможные проблемы при проверке

При использовании утилиты проверки системных файлов, вы можете столкнуться с некоторыми проблемами и ошибками. Кроме этого, лучше, если вы будете знать некоторые особенности работы этого инструмента, о которых ниже.

  • Если при запуске sfc /scannow вы видите сообщение о том, что Защите ресурсов Windows не удается запустить службу восстановления, проверьте, что служба «Установщик модулей Windows» включена, а тип запуска установлен «Вручную».
  • Если у вас в системе есть модифицированные файлы, например, вы заменяли значки в проводнике или что-то еще, то выполнение проверки с автоматическим исправлением вернет файлы в первоначальный вид, т.е. если вы меняли файлы специально, это придется повторить.

Может оказаться, что sfc /scannow не удастся исправить ошибки в системных файлах, в этом случае вы можете ввести в командной строке

Findstr /c:"" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfc.txt"


Эта команда создаст текстовый файл sfc.txt на рабочем столе со списком файлов, исправление которых не удалось - при необходимости вы можете скопировать необходимые файлы с другого компьютера с той же версией Windows или с дистрибутива ОС.

В операционной системе Windows с момента ее появления существовали ошибки. Происходили они практически во всех версиях. Выглядит это по-разному. Выскакивает сообщение об ошибке, отображается «синий экран смерти», крах приложения или вовсе перезагрузка системы. В большинстве случаев это связано с нарушением целостности системных и важных для работы файлов. А вот причинами таких последствий может служить как вирусная атака, так и общая засорённость системы и сбои.

Начиная с Windows 2000 внутри неё был реализован механизм, позволяющий провести проверку на целостность важных файлов с возможностью их восстановления. Название утилиты — SFC. Наиболее известный способ применения — SFC /scannow. Что это за команда и для чего используется, будет подробно рассказано в этой статье.

SFC /scannow — что это?

Вообще, в интернете эта связка используется повсеместно в инструкциях и тому подобное. На самом деле выражение идущее в след за слэшем всего лишь ключ или аргумент к утилите SFC.

SFC — специальная программа, призванная проверить состояние системных файлов, с целью найти искажения, нарушения целостности или вообще их отсутствия. Запускать её нужно с определёнными аргументами, список которых будет представлен ниже.

wrldlib.ru

Как открыть командную строку (консоль) с правами администратора в Windows

Случается в жизни, да и при работе с компьютером это не редкость, что не хватает прав на выполнение каких-либо деяний. В Windows при выполнении некоторых команд в консоли (командной строке) выдаётся именно такое оповещение. Что же делать? Именно об этом и пойдёт речь ниже в этой статье: Как открыть командную строку (консоль) с правами администратора в Windows. Только обретя права, советую не терять голову и всё-таки чётко осознавать, что творите! ; )

Находим командную строку (консоль) в поиске Windows

Чтобы запустить что-нибудь нужное, нужно это нужное сначала найти. И для того, чтобы найти командную строку (консоль) самым разумным будет воспользоваться поиском по Windows. Как это делать подробно описано в → этой статье, поэтому я вкратце:

1. Кликаем левой кнопкой мыши по кнопке «Пуск» Windows, расположенной в нижнем левом углу экрана.

2. Набираем в поисковом поле заветное слово cmd и любуемся результатами. =)

Запускаем командную строку (консоль) с правами администратора

Если нам просто нужна командная строка, то запускаем её так, как описано в → этой статье. Но раз уж нам нужны права администратора при выполнении команд в консоли, то действуем немного иначе:

3. Кликаем правой кнопкой мыши по иконке или названию cmd.exe или просто cmd (у кого, как настроено отображение расширений файлов, сейчас это совсем не важно).

4. В выпавшем контекстном меню левой кнопкой мыши выбираем пункт «Запуск от имени администратора»

5. Ликуем и радуемся =)

Инфографика (чтобы было проще ориентироваться, как открыть командную строку (консоль) с правами администратора в Windows)

Я потратил время и нарисовал пошаговую инструкцию того, что описано выше — радуемся и пользуемся. ; )

Важное примечание для администраторов

На самом деле, не такие оно и важное. И их два:

  1. Windows при попытке открыть консоль от имени администратора поинтересуется на сколько вы пьяны и потребует сдать мочу на анализ, или просто попросит подтвердить, что вы действительно хотите открыть командную строку с правами администратора.
  2. Внешний вид командной строки будет немного отличаться от обычной. На картинке ниже — тест на сообразительность: «Чем отличается командная строка с правами администратора?» ; )

Удачи в работе администратором! =)

Заберите ссылку на статью к себе, чтобы потом легко её найти ;)

Выберите, то, чем пользуетесь чаще всего:

Спасибо за внимание, оставайтесь на связи! Ниже ссылка на форум и обсуждение ; )

mb4.ru

Как запустить командную строку от имени администратора

В этой статье мы расскажем о всех возможных способах запустить консоль cmd с наивысшими правами в Windows 7, 8 и 10. О том, что означает этот самый запуск от имени администратора, читайте в нашей статье.

Запуск командной строки от имени администратора в Windows 7

1 Нажмите кнопку Пуск, в поле Найти программы и файлы введите cmd

2 Нажмите правой кнопкой мыши по cmd.exe

3 Выберите Запуск от имени администратора:

Запуск командной строки от имени администратора в Windows 8.1

Способ 1. Самый простой:

  1. Нажмите правой кнопкой мыши по кнопке Пуск;
  2. Кликните по Командная строка (администратор):

Способ 2

1 Откройте боковую панель и выберите Поиск:

2 В поле поиска введите cmd;

3 В результатах поиска найдите пункт Командная строка и нажмите по нему правой кнопкой мыши;

4 Выберите Запуск от имени администратора

Запуск консоли от админа в Windows 10

Первый способ — быстрый, удобный и привычный со времен Windows 8.1:

  • нажмите правой кнопкой по кнопке Пуск;
  • выберите Командная строка (администратор).

Второй способ — через строку поиска на панели задач.

  • Введите cmd;
  • Нажмите правой кнопкой по результату поиска;
  • Выберите Run as administrator:

Запуск файла CMD.exe

1. Откройте расположение файла cmd.exe. Он может находиться в следующих папках:

\Windows\System32\
 \Windows\SysWOW64\

2. Нажмите по файлу правой кнопкой и выберите Запуск от имени администратора:

Создание ярлыка

Вы можете создать ярлык к файлу cmd.exe, где выберете запуск только от имени админа:

При нажатии на такой ярлык будет выдаваться запрос на повышение и консоль будет запускаться с наивысшими правами.

Некоторые особенности

Если у текущего пользователя нет административных прав на данном компьютере, вам потребуется ввести пароль от любой учётной записи, которая обладает такими правами, и нажать Да:

Если командная строка запущена с правами администратора, то в заглавии окна консоли должно быть написано Администратор: Командная строка:

Каким способом предпочитаете пользоваться вы и почему? Пишите в комментариях.

compfixer.info

Как запустить командную строку от имени администратора

Запускаем командную строку от имени администратора в windows 7, windows8 и windows 10

Такая необходимость может возникнуть если нужно внести какие – либо системный правки и команды при помощи командной строки. Дело в том, что по умолчанию CMD запускается без прав администратора и большинство команд не смогут быть выполнены из -за нехватки прав доступа, несмотря на то, что ваша учетная запись имеет полные права администратора.

Что же делать для запуска CMD под администратором?

Для того, чтобы запустить командную строку от имени администратора на любой версии Windows, будь то Windows 7, Windows 8 или Windows 10 нужно в поисковой строке меню “Пуск” найти исполняемый файл командной строки CMD.

Поиск командной строки

Нажать по нему правой кнопкой мыши и выбрать пункт контекстного меню “Запуск от имени администратора”.

Запуск Командной строки от имени администратора

После этого запуститься CMD под администратором и вы можете не волноваться о возможной недостаче прав для какой либо команды.


Лучший способ отблагодарить автора статьи- сделать репост к себе на страничку

helpadmins.ru

[конспект админа] Меньше администраторов всем / Сервер Молл corporate blog / Habr

Продолжим про безопасность операционных систем – на этот раз «жертвой» станет MS Windows и принцип предоставления минимальных прав для задач системного администрирования.

Сотрудникам, ответственным за определенные серверы и рабочие станции совсем не обязательно выдавать права «администратор домена». Хоть не по злому умыслу, по ошибке, но это может подпортить всем жизнь, а то и стоить чьих-то выходных. Под катом детально разберем принцип предоставления минимальных прав как одну из технологий предоставления минимальных прав.


В качестве примера из практики могу привести грустную историю со счастливым концом. В организации исторически сложилось, что сервер печати находился на контроллере домена. В один прекрасный момент сотруднику отдела IT понадобилось перепрошить принтер, что он и проделал, запустив китайскую утилиту на сервере. Принтер заработал, но вот утилита в процессе перепрошивки перевела время на несколько лет назад. Active directory не очень любит путешественников во времени, и контроллер домена благополучно отправился в «захоронение» (tombstone).

Инцидент добавил седых волос, но второй контроллер домена спас ситуацию: роли FSMO перевели на него, а путешественника во времени повторно сделали контроллером домена. С тех пор в компании права «администратора домена» нужно заслужить.


Для профилактики подобных ситуаций неплохо будет выдавать желающим ровно столько прав, сколько нужно: если нужно администрировать только рабочие станции, достаточно выдать права только на компьютеры пользователей.

Когда компьютеров немного, включить доменную группу безопасности «helpdesk» в локальную группу «администраторы» можно и руками. А вот на большом объеме приходят на помощь групповые политики. Удобных способов два.

Первый способ: через Группы с ограниченным доступом (Restricted groups), расположенные в групповых политиках по адресу Конфигурация компьютера – Политики – Параметры безопасности.

Расположение политик Restricted groups.

Далее нужно создать группу «Администраторы» и добавить в нее нужную группу. Есть только один нюанс – если сделать именно так, то из локальной группы «Администраторы» исчезнут все, кроме встроенного администратора и самой группы. Даже Domain Admins:

Добавляем группу «Администраторы», в которую добавляем группу helpdesk.

И получаем локальную группу «Администраторы» без Domain admins.

Конечно, эту возможность можно использовать и во благо – зачистить локальные группы от лишних участников. Если же хочется избежать такой зачистки, то можно создать в «Группах ограниченного доступа» доменную группу и ее же назначить входящей в группу «Администраторы»:

При такой настройке локальная группа «Администраторы» не будет зачищена.

Вторым способом является настройка Предпочтения Групповых Политик (Group Policy Preference, далее – GPP). Искать следует в Конфигурации компьютера – Настройка – Локальные пользователи и группы.

Настройка группы безопасности через GPP.

Как и все настройки в GPP, эта проще в понимании и с более дружелюбным интерфейсом. Но если у вас в инфраструктуре присутствуют не обновленные Windows XP или даже Windows 2000, то остается только первый вариант.

Таким же способом можно дать права и на определенные серверы нужным сотрудникам. Например, дать права группе разработчиков на тестовый стенд.


Конечно, сотрудников отдела IT и системные учетные записи (например, под которыми выполняются задачи резервного копирования) проще сразу включить в группу «Enterprise Admins» и не знать горя.

Но из соображений безопасности лучше так не делать. В Windows существует набор встроенных учетных записей с набором типовых прав. Группы немного различаются для компьютера и для домена, а также ряд сервисов привносит свои группы.


Под спойлером предлагаю ознакомится с набором основных групп безопасности.
Группа Описание
Администраторы Полные права на систему.
Пользователи Возможность пользоваться без изменения системных параметров и без записи в системные разделы. Фактически пользователь – полноценный хозяин только в папке своего профиля.
Операторы архива Группа, предназначенная для выполнения резервного копирования и восстановления. Участники группы могут завершать работу системы на серверах и переопределять права доступа в целях резервного копирования.
Опытные пользователи Участники этой группы могут администрировать локальные учетные записи и группы (кроме администраторов), создавать сетевые ресурсы и управлять доступом на них, менять NTFS ACL (кроме смены владельца папки).
Пользователи удаленного рабочего стола Членство дает возможность подключаться к компьютеру по RDP
Операторы печати Операторы могут устанавливать и удалять принтеры, изменять их драйвера и настройки, останавливать и чистить очередь печати.
Операторы настройки сети Могут менять настройки сетевых интерфейсов. Это полезная группа на случай если нужно переназначать получение адреса сетевой картой с автоматического на статическое. Мобильные пользователи скажут спасибо, если добавить их в эту группу.
Операторы учета Пользователи в этой группе могут создавать/удалять/редактировать/перемещать учетные записи в Active Directory. Удобно дать эти права для сервиса, автоматически заводящего учетки сотрудников после приема на работу.

Познакомиться со всеми группами и более полным описанием можно в официальной документации.

Если стандартных групп не хватает, то Windows позволяет настроить права доступа более тонко. Например, выдать отдельной группе пользователей право менять время или возможность принудительно завершать работу сервера по сети. Для этого существует механизм «назначение прав пользователей». Искать можно в локальной политике безопасности – secpol.msc или в групповой политике по адресу Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Локальные политики – Назначение прав пользователя.

Настройка прав доступа через групповые политики.

Использовать эту настройку я рекомендую в крайних случаях, и ее обязательно надо документировать. Помните о том, что когда-нибудь вас кто-то сменит и будет разбираться, почему работает так, а не иначе.


Вообще лучше всегда все документировать. Представьте ситуацию, что вы уволились из организации и вместо вас пришел человек с улицы. Поставьте себя на место этого человека. Если начал дергаться глаз или зашевелились волосы – посвятите время написанию документации. Пожалуйста!

Существует еще один хороший метод ограничения доступа к объектам – делегирование. Про эту технологию на Хабре уже писали, поэтому я лишь добавлю, что с помощью делегирования удобно выдаются права для ввода нового компьютера в домен.

Все эти технологии довольно давно существуют в системах Windows. С появлением Windows 10\2016 появилась еще одна интересная возможность ограничить учетные записи – речь о ней пойдет далее.


Just Enough Administration (JEA) – технология предоставления доступа к командлетам PowerShell. Работает на операционных системах вплоть до Windows 7 при установке Windows Management Framework 5.1 (правда, в самых старых операционных системах поддержка ограничена). Работа производится через так называемые «виртуальные аккаунты» и специально подготовленные файлы конфигурации. Примером использования JEA является выдача ограниченных прав на управление определенными виртуальными машинами – например, для ваших разработчиков.

Подробнее про JEA можно почитать в официальной документации, поэтому разберем конкретный пример предоставления возможности перезапуска виртуальной машины.

Сначала нам нужно разрешить удаленное подключение к серверу с помощью командлета Enable-PSRemoting, а заодно убедимся, что у нас Windows Management Framework нужной версии при помощи командлета $PSVersionTable.PSVersion.

Проверка версии и разрешение удаленных подключений при помощи PS.

Создадим группу безопасности и специального пользователя:

$VMOperatorGroup = New-ADGroup -Name "VM-operators" -GroupScope DomainLocal -PassThru $OperatorUser = New-ADUser -Name "VMOperator" -AccountPassword (ConvertTo-SecureString '[email protected]' -AsPlainText -Force) -PassThru Enable-ADAccount -Identity $OperatorUser Add-ADGroupMember -Identity $VMOperatorGroup -Members $OperatorUser

Теперь создадим нужные для работы конфигурационные файлы и папки. Сначала общие:

New-Item -Path "C:\Program Files\WindowsPowerShell\Modules\Demo_Module" -ItemType Directory New-ModuleManifest -Path "C:\Program Files\WindowsPowerShell\Modules\Demo_Module\Demo_Module.psd1" New-Item -Path "C:\Program Files\WindowsPowerShell\Modules\Demo_Module\RoleCapabilities" -ItemType Directory

А затем создадим конкретный файл конфигурации для нашего оператора виртуальной машины с именем win. Для примера разрешим запуск и остановку виртуальной машины:

$VMRoleCapabilityParams = @{ Author = 'Сервер Молл' Description = 'VM Role Capability File' CompanyName = 'ServerMall' VisibleCmdlets= 'Get-VM', @{ Name='Start-VM'; [email protected]{ Name='Name'; ValidateSet='win' } }, @{ Name = 'Stop-VM'; Parameters = @{ Name = 'Name'; ValidateSet = 'win'}} New-PSRoleCapabilityFile -Path "$ENV:ProgramFiles\WindowsPowerShell\Modules\Demo_Module\RoleCapabilities\VMRoleCapability.psrc" @VMRoleCapabilityParams

Теперь необходимо подготовить файл сессии PowerShell:

$NonAdministrator = "DOMAIN\VM-win-Operators" $ConfParams = @{ SessionType = 'RestrictedRemoteServer' RunAsVirtualAccount = $true RoleDefinitions = @{ $NonAdministrator = @{ RoleCapabilities = 'VMRoleCapability'} } TranscriptDirectory = "$env:ProgramData\JEAConfiguration\Transcripts" } New-Item -Path "$env:ProgramData\JEAConfiguration" -ItemType Directory $SessionName = 'VM_OperatorSession' New-PSSessionConfigurationFile -Path "$env:ProgramData\JEAConfiguration\VM.pssc" @ConfParams

Зарегистрируем файл сессии:

Register-PSSessionConfiguration -Name 'VM_OperatorSession' -Path "$env:ProgramData\JEAConfiguration\VM.pssc"

Теперь все готово для проверки. Попробуем подключиться к серверу с учетными данными созданного пользователя командлетом:

Enter-PSSession -ComputerName SERVERNAME -ConfigurationName VM_OperatorSession -Credential (Get-Credential)

Проверим список доступных команд командой get-command и попробуем остановить нашу виртуальную машину win, а затем другую машину win2.

Доступ к серверу ограничен управлением одной виртуальной машиной.

Для облегчения создания файлов конфигурации сообществом была создана утилита под названием JEA Toolkit Helper, где графический интерфейс поможет создать файлы с необходимыми параметрами.

Интерфейс JEA Toolkit Helper.

При необходимости есть возможность через групповые политики включить аудит выполнения модулей по адресу Конфигурация компьютера – Административные шаблоны – Windows Powershell – Включить ведение журнала модулей. Тогда в журнале Windows будут отображаться записи о том что, где и когда.

Журнал выполнения PowerShell.

Альтернативой будет включение записи в файл. Также через групповые политики настраивается параметр «Включить транскрипции PowerShell». Путь можно задать как в самой политике (и тогда запись туда будет вестись для всех модулей), так и в файле конфигурации сессии JEA в параметре TranscriptDirectory.

Файловый журнал JEA.

С помощью делегирования, назначения прав и JEA можно добиться отказа от использования учетных записей с администраторскими правами в повседневной работе. В конце-концов, к UAC в Windows ведь тоже привыкли и не отключаем просто потому, что «заткнись, я и так знаю что мне делать со своими файлами!».

habr.com

Запуск программы без прав администратора и подавлением запроса UAC

Многие программы при запуске требуют повышения прав (значок щита у иконки), однако на самом деле для их нормальной работы прав администратора не требуется (например, вы вручную предоставили необходимые права пользователям на каталог программы в ProgramFiles и ветки реестра, которые используются программой). Соответственно, при запуске такой программы из-под простого пользователя, если на компьютере включен контроль учетных записей, появится запрос UAC и от пользователя потребует ввести пароль администратора. Чтобы обойти этот механизм многие просто отключают UAC или предоставляют пользователю права администратора на компьютере, добавляя его в группу локальных администраторов. Естественно, оба этих способа небезопасны.

Зачем обычному приложению могут понадобится права администратора

Права администратора могут потребоваться программе для модификации неких файлов (логи, конфигурации и т.д.) в собственной папке в C:\Program Files (x86)\SomeApp). По умолчанию у пользователей нет прав на редактирование данного каталога, соответственно, для нормальной работы такой программы нужны права администратора. Чтобы решить эту проблему, нужно под администратором на уровне NTFS вручную назначить на папку с программой право на изменение/запись для пользователя (или группы Users).

Примечание. На самом деле практика хранения изменяющихся данных приложения в собственном каталоге в C:\Program Files неверна. Правильнее хранить данные приложения в профиле пользователя. Но это вопрос уже о лени и некомпетентности разработчиков.

Запуск программы, требующей права администратора от обычного пользователя

Ранее мы уже описывали, как можно отключить запрос UAC для конкретной программы, с помощью параметра RunAsInvoker. Однако этот метод недостаточно гибкий. Также можно воспользоваться RunAs с сохранением пароля админа /SAVECRED (также небезопасно). Рассмотрим более простой способ принудительного запуска любой программы без прав администратора (и без ввода пароля админа) при включенном UAC (4,3 или 2 уровень ползунка UAC).

Для примера возьмем утилиту редактирования реестра — regedit.exe (она находится в каталоге C:\windows\system32). При запуске regedit.exe появляется окно UAC и, если не подтвердить повышение привилегии, редактор реестра не запускается.

Создадим на рабочем столе файл run-as-non-admin.bat со следующим текстом:

cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && start "" %1"

Теперь для принудительного запуска приложения без права администратора и подавления запроса UAC, просто перетащите нужный exe файл на этот bat файл на рабочем столе.

После этого редактор реестра должен запустится без появления запроса UAC. Открыв диспетчер процессов, и добавим столбец Elevated (С более высоким уровнем разрешений), вы увидите, что в системе имеется процесс regedit.exe с неповышенным статусом (запущен с правами пользователя).

Попробуйте отредактировать любой параметр в ветке HKLM. Как вы видите доступ на редактирование реестра в этой ветке запрещен (у данного пользователя нет прав на запись в системные ветки реестра). Но вы можете добавлять и редактировать ключи в собственной ветке реестра пользователя — HKCU.

Аналогичным образом можно запускать через bat файл и конкретное приложение, достаточно указать путь к исполняемому файлу.

run-app-as-non-admin.bat

Set ApplicationPath="C:\Program Files\MyApp\testapp.exe"
cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && start "" %ApplicationPath%"

Также можно добавить контекстное меню, которое добавляет у всех приложений возможность запуска без повышения прав. Для этого создайте следующий reg файл и импортируйте его в реестр.

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\*\shell\forcerunasinvoker]
@="Run as user without UAC elevation"
[HKEY_CLASSES_ROOT\*\shell\forcerunasinvoker\command]
@="cmd /min /C \"set __COMPAT_LAYER=RUNASINVOKER && start \"\" \"%1\"\""

После этого для запуска любого приложения без прав админа достаточно выбрать пункт «Run as user without UAC elevation» в контекстном меню.

Переменная окружения __COMPAT_LAYER и параметр RunAsInvoker

Переменная окружения __COMPAT_LAYER позволяет устанавливать различные уровни совместимости для приложений (вкладка Совместимость в свойствах exe файла). С помощью этой переменной можно указать настройки совместимости, с которыми нужно запускать программу. Например, для запуска приложения в режиме совместимости с Windows 7 и разрешением 640×480, установите:

set __COMPAT_LAYER=Win7RTM 640x480

Из интересных нам опций переменной __COMPAT_LAYER выделим следующие параметры:

  • RunAsInvoker — запуск приложения с привилегиями родительского процесса без запроса UAC.
  • RunAsHighest — запуск приложения с максимальными правами, доступными пользователю (запрос UAC появляется если у пользователя есть права администратора).
  • RunAsAdmin — запуск приложение с правами администратора (запрос AUC появляется всегда).

Т.е. параметр RunAsInvoker не предоставляет права администратора, а только блокирует появления окна UAC.

winitpro.ru

Как запустить команду sfc/scannow от имени администратора.

Для чего нужна команда sfc/scannow, и как осуществить запуск от имени администратора – со временем каждый юзер задается этими вопросами.

Опытные пользователи компьютера неоднократно замечали, что инсталляция нового оборудования частенько является причиной появления ошибок. Такие неприятности могут возникнуть даже просто в результате активной эксплуатации интернета:

  • поиск каких-нибудь данных;
  • использование социальных сетей;
  • просмотр видео-роликов из неизвестных источников;
  • загрузка из сети разнотипных файлов в память компьютера или съемные носители.

Непроизвольно ваши действия могут стать причиной неправильной работы системных программ. Разработчики Windows предусмотрели такой вариант истечения событий и придумали средство проверки системных файлов, предназначенное находить и восстанавливать поврежденные файлы системы.

Чтобы применять эту команду сначала откройте командную строку, используя повышенные права. Для этого последовательно выполните Пуск-Все программы-Стандартные. В списке, который развернется, найдите cmd и кликните по этой программе правой клавишей мышки.

Перед вами возникнет контекстное меню, в котором нужно выбрать пункт «Запуск от имени администратора». После этого подтвердите данную операцию, нажав Оk или Разрешить. Теперь в новом окне консоли наберите команду sfc/scannow и запустите ее нажатием клавиши Enter.

Заданная команда выполнит проверку всех защищенных файлов системы и в результате проверки выведет информацию, что ошибок не обнаружено, или найдено и восстановлено определенное количество поврежденных файлов.

Понравилась статья? Поделиться с друзьями:

kak1000.ru


Смотрите также



© 2010- GutenBlog.ru Карта сайта, XML.