Что значит обладать правами администратора
Как получить права администратора в Windows
Возможность проводить действия с папками и файлами, относящимися к системной конфигурации, даёт только получение прав администратора в Windows. Без расширенного доступа на праве администратора система Windows не может быть в безопасности.
К тому же административная учётная запись даст пользователю право редактировать и удалять не только системные, но и другие папки и файлы, имеющие ограниченный доступ. Запускать некоторые программы, делать настройки без таких расширенных полномочий также нельзя. Рассмотрим все возможности того, как получить права администратора в Windows.
Командная строка
Рекомендуем воспользоваться меню кнопки «Пуск». При этом, если на компьютере стоит Windows 10, добраться до командной строки можно просто кликнув правой кнопкой мыши «Пуск». Затем выбирается пункт «Командная строка (администратор)». Независимо от версии операционной системы вводится такая команда: net user администратор /active:yes:
.png "content img(396)")
Редактор групповой политики
Применять этот редактор имеет смысл только, если у вас установлена система в редакции «Профессиональная». Нужно открыть окно «Выполнить» одновременным нажатием Win и R. В окошке прописывается команда gpedit.msc:
.png "content img(397)")
Далее, зайдя в раздел, расположенный слева, под названием «Параметры безопасности» надо активировать параметр «Состояние учётной записи Администратора». Это делается двойным кликом. Повышение прав доступа станет возможным после перезагрузки системы:
.png "content img(398)")
Мы описали, как получить полные права администратора в Windows 7 и 10. Примерно таким же образом надо действовать в случае Windows 8.1, разве что называться открывшееся окно будет иначе – «Локальная политика безопасности».
Настройка учётных записей
Если ваша версия Windows имеет статус профессиональной, можно применить и метод учётных записей. Их параметры имеются в любой версии операционной системы. Нужно сходным образом вызвать окошко «Выполнить», но прописать уже другую команду — control userpasswords2:
.png "content img(399)")
Чтобы управлять учётными записями пользователей надо нажать кнопку «Дополнительно», находящуюся на поле «Дополнительное управление пользователями»:
.png "content img(400)")
Появится окно, где слева нужно открыть раздел «Пользователи». В нём, уже с правой стороны, необходимо дважды нажать на строку «Администратор». Во вновь открывшемся окне следует убрать галочку в квадратике «Отключить учётную запись». По аналогии с прошлым методом требуется перегрузить компьютер или ноутбук:
.png "content img(401)")
Встроенный компонент
Здесь все вообще очень просто, но метод работает только для Windows 10. Для этого в строку поиска вводим «Администратор». Когда появится «Включить встроенного администратора» нажимаем и перезагружаем компьютер:
.png "content img(402)")
Если самостоятельно провести эти операции не получилось или возникли вопросы, то наши мастера готовы помочь. «Служба добрых дел» работает круглосуточно. Мы проводим консультации по телефону или выезжаем в офис и на дом в удобное время. Оставьте заявку любым оптимальным для вас способом, и мы непременно ответим на возникшие вопросы или сделаем все за вас!
Не хватает прав: Windows требует права администратора.
Многие из пользователей сталкивались с такой ситуацией наверняка. В учётной записи пользователя с правами администратора (а другой обычно на личном компьютере и нет), Windows при попытке открыть конкретный файл, папку, а иногда и целую директорию (или даже том) отказывается это делать. Под предлогом, что, мол, не хватает прав:
файл pdf не открывается из-за отсутствия прав
И что более всего напрягает: как так-то? Я и есть администратор, по-крайней мере, с полным набором административных прав. А тут опять прав мало…
Почему не хватает прав?
Ответов только два.
Исправляем…
Как видно из описания, прародителем запрета в обоих случаях является пресловутый UAC (Контроль учётных записей) Windows. Потому и решение проблемы с правами лежит в плоскости работы с UAC. А значит мы можем выбрать несколько способов, которые помогут от этой «ошибки» избавиться. Но не думайте, что выключив UAC в настройках Учётных записей пользователей, откатив ползунок уведомлений вниз, вы о него избавились:
Всё не так просто, да и контроль UAC отключать в нашем случае не обязательно. Я вообще этого делать настоятельно не рекомендую.
Не хватает прав для конкретного файла или папки
Если эта проблема не успела намозолить глаза и не является повальной для системы, можно попробовать избавиться от неё прямо в свойствах к файлу/папке. Вызовем меню свойств файла/папки и выберем вкладку Безопасность:
откройте в новой вкладке, чтобы увеличить
В окне Выбор «Пользователи» или «Группы» введите имя своей учётной записи или начните вводить и щёлкните Проверить имена. Учётная запись пользователя будет обнаружена, и кнопкой ОК вы добавите её в список тех, кто имеет необходимые к документу/папке права. Ваша учётка сразу появится и в среднем окне Разрешения для группы…
осталось соглашаться с диалоговыми окнами
Выставляйте галочку в чекбоксе Разрешить. Применяйте и соглашайтесь во всех последовательно открытых окнах. Перезагрузка вряд ли потребуется. Сразу попробуйте. Этот вариант применим ко всем файлам, папкам и даже директориям.
Если файлы по-прежнему не открываются или что-то дёт не так, зададим разрешения учётным записям. В свойствах файла/папки/диска смените или задайте владельцев. Вот как это будет выглядеть на примере Windows 10 при переименовании системной библиотеки:
В нём вы должны выйти на учётную запись группы администраторов, выбрав в окне Разрешений для группы…, и активировать чек-бокс в нижней части окна, выставив Полный доступ:
Добавляем специальный пункт в меню дополнительных команд
Для меню дополнительных команд, которое появляется после щелчка по выбранному правой мышкой, есть маленький хак. С его помощью в меню можно добавить ещё один пункт, который говорит сам за себя:
Снимаем триггер в групповой политике: для всей системы в целом
Права-то правами, но и сама система UAC с сопутствующими функциями работает далеко не безошибочно. Так что есть вариант проверить настройки для Контроля учётных записей: не появилось ли там некое событие, которое и заставляет UAC «нервно реагировать». Вводим быструю команду в строке поиска
Крутим справа мышкой до пункта Контроль учётных записей: все администраторы работают в режиме… :
Двойным по нему щелчком выключаем в свойствах.
[Конспект админа] Что делать, если программа хочет прав администратора, а вы нет
К сожалению, в работе сисадмина нет-нет да и приходится разрешать пользователям запускать всякий софт с админскими правами. Чаще всего это какие-нибудь странные китайские программы для работы с оборудованием. Но бывают и другие ситуации вроде небезызвестного bnk.exe.
Выдавать пользователю права администратора, чтобы решить проблему быстро и просто, противоречит нормам инфобезопасности. Можно, конечно, дать ему отдельный компьютер и поместить в изолированную сеть, но — это дорого и вообще…
Попробуем разобрать решения, которые позволят и программу запустить, и безопасника с финансистом не обозлить.
Ну, и зачем тебе права?
Программа может запрашивать права администратора условно в двух случаях:
С первым случаем все понятно: берем в руки замечательную программу Марка Руссиновича Process Monitor, смотрим, что происходит, и куда программа пытается залезть:
Куда это лезет этот 7Zip?
И по результатам исследования выдаем права пользователю на нужный каталог или ветку реестра.
Сложнее, если случай клинический, и так просто выдать права не получится: например, программа требует сильного вмешательства в работу системы вроде установки драйверов. Тогда придется придумывать всякий колхоз, про который речь пойдет в последнем разделе статьи. Пока подробнее освещу второй случай — когда стоит флажок.
Если сильно упростить, то в специальном манифесте программы (к слову, установщики — это тоже программы) могут быть три варианта запуска:
Если разработчик твердо решил требовать права администратора, даже если они не нужны, то обойти это можно малой кровью.
Нет, не будет тебе прав
В системе Windows, начиная с Vista, появилась служба UAC, которая помимо прочего отвечает за запросы программ на повышение прав. Не все программы «переваривали» работу с этой службой. Поэтому в системе был доработан механизм совместимости приложений, позволяющий прямо задать программе ее поведение — запрашивать права или нет.
Простейшим вариантом работы с этим механизмом будет использование переменных среды.
Рассмотрим пример с редактором реестра. Действительно, запуская regedit.exe под администратором, мы получаем запрос на повышение прав:
Запрос повышение прав.
Если же мы запустим редактор реестра из консоли, предварительно поменяв значение переменной среды __COMPAT_LAYER на:
То запроса UAC не будет, как и административных прав у приложения:
Бесправный редактор реестра.
Этим можно пользоваться, запуская программы батниками или добавляя контекстное меню через реестр. Подробнее читайте в материале How to Run Program without Admin Privileges and to Bypass UAC Prompt?
С конкретным примером такой неприятной программы можно столкнуться при загрузке классификаторов банков из 1С с сайта РБК по ссылке http://cbrates.rbc.ru/bnk/bnk.exe. Если обновление классификаторов отдается на откуп самим пользователям и нет возможности поменять загрузку на bnk.zip (а современные 1С это поддерживают), то приходится придумывать костыли. Ведь bnk.exe — самораспаковывающийся архив, в котором зачем-то прописано «Требовать права администратора».
Поскольку ярлычками тут обойтись не выйдет, ведь 1С сама скачивает файл и запускает его, то придется применять тяжелую артиллерию — Microsoft Application Compatibility Toolkit.
Документация к ПО, как обычно, доступна на официальном сайте, загрузить можно как часть Windows Assessment and Deployment Kit. Сам процесс решения проблемы несложен.
Необходимо поставить утилиту, запустить Compatibility Administrator и создать Application Fix в новой или имеющейся базе данных:
Создаем исправление приложения.
Имя и издатель значения не имеют. Имеет значение только расположение файла — тут нужно указать реальный проблемный bnk.exe (где он будет лежать на самом деле — не важно).
Далее необходимо в списке исправлений выбрать RunAsInvoker.
Выбираем нужный фикс.
Все остальное оставляем по умолчанию, сохраняем базу данных. Должно получиться примерно так:
Созданный фикс для bnk.exe.
После этого достаточно будет установить базу данных, щелкнув по ней правой кнопкой и выбрав Install. Теперь пользователи смогут сами грузить классификаторы банков.
Все становится хуже, если приложению действительно нужны права админа. Тогда добавление прав на системные объекты и исправления не помогают.
Ну ладно, держи права
Казалось бы, самым очевидным решением для запуска нашего странного ПО выглядит использование встроенной утилиты Runas. Документация доступна на сайте Microsoft.
Ну, посмотрим, что из этого выйдет.
Действительно, RunAs запустит 7zip с правами учетной записи «Администратор», спросит пароль и запомнит его. Потом ярлык с такой строкой запуска будет запускать 7zip под Администратором без вопросов.
)
Есть один существенный недостаток: пароль запоминается на уровне системы, и теперь, используя команду Runas, можно будет запускать абсолютно любую программу. Это мало чем отличается от прямого предоставления админских прав сотрудникам, так что использовать это решение не стоит.
Зато runas может быть полезен, когда сотрудник знает пароль администратора, но работает под ограниченной учетной записью (по идее так должен делать каждый системный администратор).
Если мы начали с консольных команд, то перейдем к более высокоуровневым скриптам. Интересное решение было предложено в статье «Планктонная Windows», где упомянутый выше Runas обвязывался js-скриптом и пропускался через обфускатор. У решения есть и очевидный минус — скрипт можно раскодировать.
Чуть более интересным методом в 2к20 являются возможности PowerShell и его работа с паролями. Подробнее можно почитать в материале «Защита и шифрование паролей в скриптах PowerShell».
Если вкратце: в PS работа с паролями производится через специальный тип данных SecureString и объект PSCredential. Например, можно ввести пароль интерактивно:
Затем сохранить пароль в зашифрованном виде в файл:
И теперь использовать этот файл для неинтерактивной работы:
К сожалению, файл этот можно использовать только на том ПК, на котором его создали. Чтобы этого избежать, можно сделать отдельный ключ шифрования. Например так:
Теперь при помощи этого ключа пароль можно зашифровать:
В свое время я использовал для решения подобных задач свой любимый AutoIt, где компилировал скрипт с командой RunAs и радовался… До тех пор, пока не узнал, что AutoIt (особенно старых версий) декомпилируется на раз-два.
Другим интересным вариантом может быть применение назначенных заданий — если создать назначенное задание от админского аккаунта, пользователю для работы будет достаточно его запуска. К сожалению, для интерактивной работы с приложением это решение не подходит.
На свете существует несколько сторонних решений, призванных решить задачу. Остановлюсь на парочке из них.
Пожалуй, одна из самых известных утилит — это AdmiLink, разработанная Алексеем Курякиным для нужд ядерной физики. Программа и принципы ее работы описаны на официальном сайте. Я, как обычно, позволю себе более краткое описание.
Программа состоит из трех модулей. AdmiLink — это графическое окно, где можно создать ярлык на нужное приложение (в принципе, в ряде случаев достаточно только его).
Основное окно программы.
Помимо непосредственно создания ярлыка (и да, запрос UAC тоже можно подавлять), есть и дополнительные функции вроде калькулятора, терминала и удобных настроек политик безопасности. Со всеми возможностями программы читателю предлагается разобраться самостоятельно.
Второй модуль называется AdmiRun и представляет из себя консольную утилиту. Она умеет запускать приложения от имени администратора, получив в качестве одного из параметров строку, созданную через AdmiLink. В строке шифруется имя пользователя и пароль, при этом участвует и путь к программе.
На первый взгляд все выглядит безопасно, но, к сожалению, код программ закрыт, и насколько можно доверять разработчику — вопрос.
Третий модуль — AdmiLaunch — отвечает за запуск окон в разных режимах, и он используется для запуска AdmiRun, если создавать ярлык через AdmiLink.
В целом, решение проверено годами и поколениями отечественных системных администраторов. Но добавлю и альтернативу из-за рубежа.
RunAsRob — довольно интересное ПО за авторством немецкого разработчика Оливера Хессинга (Oliver Hessing). В отличие от AdmiLink, ПО устанавливается как служба, запускаемая под привилегированной учетной записью (администратора или системы). Как следствие, подготовленный ярлык обращается к службе, которая уже в свою очередь запускает заданное ПО.
Особенность программы в том, что есть возможность авторизовать не только программы, но и папки (включая сетевые). А хранение настроек в реестре позволило добавить шаблоны групповых политик, примерно как мы писали в статье «Погружение в шаблоны и приручение GPO Windows». Благодаря этому при необходимости настройки можно применять прямо из Active Directory.
Основное окно программы.
Программа богато документирована на официальном сайте.
У этого автора есть еще и программа RunAsSpc, позволяющая запускать исполняемые файлы под правами другого пользователя, передавая учетные данные через зашифрованный файл.
Мне остается только добавить, что это ПО бесплатно только для личного использования.
Но учтите, что из программы, запущенной под административными правами, можно натворить бед. Например, запустить привилегированную командную консоль через диалог Файл — Открыть.
Запускаем cmd.exe прямо из редактора реестра.
Немного защититься помогут политики запрета контекстного меню и прочих диспетчеров задач, часть из которых может настроить AdmiLink. Но в любом случае следует быть осторожным.
А вам приходилось городить странные костыли? Предлагаю делиться историями в комментариях.
Как получить полный контроль над компьютером, используя права Суперадмина
Windows изначально не дает полные права на изменения в системе даже пользователю с правами администратора. CHIP расскажет, как получить полный контроль над системой с помощью встроенной учетной записи администратора.
Для настройки некоторых системных параметров Windows требуются права администратора. Однако учетная запись «администратор» еще не означает «администратор компьютера».
В Windows 10, например, можно присвоить права администратора любому пользователю, однако при этом постоянно появляются предупреждающие сообщения и требования ввода пароля администратора. Причина: существует встроенная учетная запись администратора, обладающая большими правами, чем у пользователя, самостоятельно назначившего себя администратором. При включении встроенной учетной записи администратора для внесения изменений в систему подобные предупреждения и указания не будут появляться.
Суперадминистратор в Windows 7
В этой версии учетная запись администратора по умолчанию отключена. Для ее включения откройте меню «Пуск» и щелкните пункт «Все программы». Затем прокрутите список до пункта «Стандартные» и откройте его.
Щелкнув правой кнопкой мыши на пункте «Командная строка», выберите команду «Запуск от имени администратора» и щелкните «Да» в появившемся окне «Контроль учетных записей пользователей».
В окне «Администратор: командная строка» введите команду «net user Администратор / active:yes» без кавычек (для русскоязычной версии).
Действия со всеми правами. Встроенная учетная запись администратора Windows может быть активирована с использованием пароля и без него
Из соображений безопасности учетная запись администратора не должна быть включена дольше, чем необходимо. Для ее отключения необходимо ввести команду «net user Администратор /active:no».
Суперадминистратор в Windows 10
Для пользователей этой ОС необходимо ввести в окне поиска «Командная строка», щелкнуть правой кнопкой мыши на соответствующей записи в перечне результатов и выбрать команду контекстного меню «Запуск от имени администратора». В окне «Контроль учетных записей пользователей» щелкните «Да».
Если вы хотите использовать встроенную учетную запись администратора без указания пароля, введите команду «net user Администратор /active:yes» (для русскоязычной версии).
Если вы установили пароль, команда должна выглядеть так:
«net user Администратор ваш_пароль /active: yes» (для русскоязычной версии). Вместо фрагмента «ваш_пароль» необходимо ввести ваш настоящий пароль.
Учетная запись администратора отключается командой «net user Администратор /active: no» (для русскоязычной версии).
Читайте также:
Фото: компании-производители
Что значит обладать правами администратора
Очень часто ваш компьютер или ноутбук спрашивает вас «хотели бы вы внести изменения в операционной системе windows» при установке каких либо игр или программ. Что мы делаем — ну конечно соглашаемся, мы же умышленно что-то устанавливаем. Бывает, что для настройки системы и какого-либо программного обеспечения вам нужны права администратора. Так кто же такой этот мать его — администратор, как запустить с правами администратора, как настроить (включить или выключить) эти права, где и для чего администраторские права нам понадобятся. Собственно об этом и статья.
Кто такой этот администратор?
В операционных системах windows по умолчанию создаются 2 пользователя: ваш, который вы выбираете при установке системы, второй — тот самый Администратор. Своего рода права администратора являются специальной защитой Windows XP, 7, Vista, 8, 8.1 от нежелательных изменений настроек, которые может внести неопытный пользователь. Эти изменения могут привести к сбоям Windows или нестабильной работе системы. В последних версиях windows, при попытке внести какие либо изменения, операционная спрашивает вас о необходимости этих изменений, например:
Как видим на рисунке выше эти администраторские права называются еще «контроль учетных записей» Windows.
Как запустить приложение, программу от имени администратора?
Рассмотрим 3 способа запуска приложений с правами администратора:
1. Выделить нужное приложение или ярлык и нажать ctrl+enter;
2. Нажать правой клавишей мыши на программе или ярлыке и в контекстном меню выбрать «запуск от имени администратора», при необходимости ввести логин и пароль;
3. Снова нажать правой клавишей мышки на ярлыке нужной проги, выбрать свойства и в настройках выставить постоянный запуск от имени администратора.
Как отключить права администратора, контроль учетных записей, UAC?
Пуск > Панель управления > Учетные записи пользователей > Изменения параметров контроля учетных записей > Опускаем флажок в самый низ и применяем настройки.
Может потребоваться перезагрузка компьютера.
Где и в каких случаях права администратора нам понадобятся?
Самый частый пример это «запуск командной строки с правами администратора». Как это сделать? Да легко. В Windows XP Пуск > Командная строка (cmd). В Windows Vista, 7, 8, 8.1 Пуск > В строке поиска пишем CMD и нажимаем ctrl+enter.
Случаев необходимости внесения каких либо важных изменений в настройке Windows много и их рекомендуется делать опытным пользователям (глубокая настройка системы под себя). Сейчас очень много интернет ресурсов публикуют различные инструкции по решению определенных проблем таких как: не запускается какая-то игра или программа, удаление ошибок системы, не работает интернет или другие функции. Практически в каждом руководстве на каком либо этапе, вам необходимо запустить программу от имени администратора, а благодаря этой статейке вы уже подкованы в этом вопросе. Делимся с друзьями. Удачи!