Вміст статті:
У будь-якому підприємстві, в якому комп'ютери / програмне забезпечення обслуговують адекватні люди, звичайні користувачі комп'ютерів не мають ніяких адмінських прав за ними, що значно знижує ризик видалення важливих файлів системи, установку незрозумілого програмного забезпечення та інших чудес. Однак, деякі програми вперто не бажають працювати без прав адміністратора - і що ж робити, якщо бажання давати права адміністратора комп'ютера користувачеві немає, а необхідність запустити додаток - є?
У статті піде мова про те, як надати звичайному користувачеві можливість запустити додаток, і не видавати йому права адміністратора на комп'ютері. Йтиметься про два способи - більш-менш безпечному (Видача прав на папку з програмою), і менш безпечному (спосіб з використанням програми RunAs).
Видача прав на папку з програмою
Часто, права адміністратора потрібні програмі для проведення будь-яких операцій з файлами в своїй папці - наприклад якоїсь Programm "e потрібно записувати дані в свій файл конфігурації в папку, куди вона встановлена \u200b\u200b(припустимо цей каталог C: \\ Program Files (x86) \\ Programma). Можна спробувати видати за потрібне користувачам повні права на цю папку. Робиться це в такий спосіб:
- Правою кнопкою натискаєте на папці, відкриваєте властивості
- У Свойствах потрібно відкрити вкладку Безпека.
- Залежно від налаштувань комп'ютера там може відображатися або " Додати", Або" змінити". У першому випадку потрібно натиснути кнопку" Додати", у другому - " змінити", Після чого швидше за все буде потрібно ввести дані облікового запису адміністратора. Після цього з'явиться вікно з кнопкою " Додати", Яку і потрібно буде натиснути.
- Після натискання кнопки " Додати"Додаємо всіх потрібних користувачів. Для перевірки правильність введення імені користувача можна скористатися кнопкою" перевірити імена".
- Потім видаємо повні права доданому користувачеві - для цього потрібно поставити галочку в полі " Дозволи для ....", Пункт" повні права".
Запуск програми під обліковим записом адмінстратор з обліковим записом користувача
Для цієї мети згодиться програма RunAs, яка йде в складі Windows. Для зручності її використання найпростіше буде створити cmd файл, в який слід помістити наступне:
C: \\ WINDOWS \\ system32 \\ runas.exe / user: \\ / SAVECRED
Замість Домену користувача і Користувача вводимо дані облікового запису користувача, який володіє правами адміністратора в домені, або на комп'ютері (в такому випадку, замість Домену користувача слід писати ім'я комп'ютера). Замість Шлях до програми відповідно пишемо шлях до потрібного exe файлу.
Вимоги.
Стаття може бути застосована для Windows XP.
інформація
Як правило, якщо на комп'ютері є кілька облікових записів з правами локально адміністратора, то Windows автоматично приховує вбудовану обліковий запис "Адміністратор". Але буває необхідність зайти в Windows саме під цим обліковим записом. Це можна зробити трьома способами, причому вибір способу заздрості від налаштувань Вашої системи.
Спосіб №1. Якщо Ви використовуєте екран "Привітання".
1. Дочекайтеся екрану " Привітання", Де Вам буде запропоновано вибрати зі списку потрібний обліковий запис;
2. Затисніть на клавіатурі дві кнопки "Ctrl" і "Alt", не відпускаючи затиснуті кнопки натисніть на клавіатурі кнопку "Del" два рази;
3. На екрані має відобразиться вікно " Вхід в Windows"З двома полями" Користувач "," Пароль "і трьома кнопками" ОК "," Скасування "," Параметри \u003e\u003e ";
4. У полі "Користувач", введіть Адміністратор і пароль (якщо він є) і натисніть кнопку "ОК";
Якщо у Вас вхід в Windows автоматичний, тобто не вимагається ім'я користувача і пароль, то виконайте наступні дії.
завершення сеансу
<имя Вашего пользователя>
";
3. У вікні "Вихід з Windows", натисніть кнопку " вихід". Звертаємо ще раз вашу увагу кнопку "Вихід";
4. Дочекайтеся завершення сеансу і появи вікна " Привітання";
5. Потім виконайте пункти 2 - 4 зазначені в способі №1;
Спосіб №2. Якщо Ви не використовуєте екран "Привітання".
Якщо Ви не використовуєте екран "Привітання", а замість нього у Вас відкривається овно " Вхід в Windows", В якому є два поля" Користувач "," Пароль "і три кнопки" ОК "," Скасування "," Параметри \u003e\u003e ", тоді:
1. У полі "Користувач", введіть Адміністратор
2. В поле "Пароль", введіть пароль (якщо він є) і натисніть кнопку "ОК";
Якщо у Вас вхід в Windows автоматичний, Тобто не вимагається ім'я користувача і пароль, то виконайте наступні дії.
1. Дочекайтеся завантаження робочого столу;
2. Натисніть кнопку "Пуск" і виберіть " Завершення роботи...";
3. У вікні " Завершення роботи Windows", В поле" Виберіть бажану дію "виберіть" завершення сеансу <имя Вашего
пользователя>
"І натисніть кнопку" ОК ";
4. Потім виконайте пункти зазначені в способі №2;
Спосіб №3. Використовуючи безпечний режим.
1. Увімкніть комп'ютер;
2. Як тільки на екрані з'являться літери та / або цифри, періодично (2 рази в секунду) натискайте на клавіатурі кнопку "F8";
3. На екрані має відображатися меню. В цьому меню, виберіть пункт " Безпечний режим";
4. Якщо з'явиться вікно, з пропозицією натиснути "Так" або "Ні", натисніть кнопку " Так";
5. Рахунок "Адміністратор" з'явиться автоматично, Вам залишиться тільки вибрати її і ввести пароль (якщо він є);
Невелика повчальна стаття, з якої ви дізнаєтеся як можна дізнатися якими права має ваш обліковий запис, які ще користувачі присутні в системі і як увійти в ОС від імені адміністратора.
Отже, почнемо екскурс з самого основного і першорядного.
Як дізнатися, в якому профілем (обліковим записом) Ви перебуваєте в системі?
В Windows XP Мало того, що Ви відкриєте Меню Пуск і побачите в заголовку ім'я облікового запису.
В Windows 7 потрібно зайти в Панель управління і Облікові записи користувачів.
В Windows XP клацаємо ПКМ по мого комп'ютера, вибираємо властивості, Переходимо на вкладку додатково і клацаємо кнопку параметри у полі профілі користувачів:
З'явиться таке віконце, в якому можна побачити всі профілі користувачів і, якщо потрібно, "пошаманити" з ними. Але це кому як захочеться.
У Windows 7 йдемо по шляху: Панель управління -\u003e Всі елементи панелі управління -\u003e Облікові записи користувачів -\u003e Служба захисту
тепер дізнаємося Якими правами наділена обліковий запис (профіль).
В XP і 7 це робиться однаково - клацаємо ПКМ по мого комп'ютера (В меню Пуск або на Робочому столі) і вибираємо управління.
Далі нам потрібен пункт локальні групи і користувачі і в ньому користувачі
Якщо клікнути на користувача, то можна так само "пошаманити" з його правами та паролем, ніж зараз і займемося.
В Windows XP змінювати і додавати профіль можна тільки за допомогою прав адміністратора. Їх можна отримати, в більшості випадків, якщо зайти в систему в.
В Windows 7 це цікавіше. Справа в тому, що навіть якщо у Вас є обліковий запис Адміністратора, то він є як би не повним адміном. В "сімці" присутній вже вбудований супервізора або суперадміністратора і щоб зайти в ОС під ним потрібно лише зняти галочку Відключити обліковий запис в властивості Адміністратора.
Після цього перезавантажуємося і при завантаженні з'явиться новий обліковий запис:
Тут ще є маленький нюанс. У Windows 7 Home Basic (Домашня базова) і Starter (Початкова / Стартова) нету Локальних політик, а значить Ви не зможете прибрати галочку з пункту.
Але нічого страшного, потрібно лише запустити (консоль) (ПКМ на ній і вибравши Запуск від імені адміністратора), потім ввести в поле
net user Адміністратор / active: yes
і перезавантажитися.
Варто Вас ще попередити про те, що під час заходу в систему Адміністратором, всі програми (в тому числі і ті, що знаходяться в) запускаються з його привілеями. Це може дати "зелене світло" різного роду вірусів і шкідливим програмам.
І ще, бажано ставити пароль на обліковий запис Адміністратора.
При роботі з операційною системою Windows користувачеві доводиться вдаватися до вирішення завдань, що вимагають підвищені привілеї. Стандартно, ви можете редагувати в Віндовс будь-які файли, встановлювати додатки. Для зміни якихось системних конфігураційних файлів будуть потрібні права адміністратора. Звичайно, редагувати системні файли потрібно з обережністю, так як, в якийсь момент Windows не запуститься або буде працювати некоректно.
Також в якихось комерційних компаніях є адміністратор, що стежить за комп'ютерами в офісах. Для цього у нього є підвищені привілеї, які здійснюють доступ до будь-якого місця в системі.
Використання командного рядка
Найпоширеніший метод включення підвищених привілеїв - пустити в хід командний рядок. У Віндовс 10 і 7 можна використовувати меню Пуск. У «десятці» натискаємо правою кнопкою мишки по Пуску і вибираємо командний рядок від імені адміністратора. Щоб активувати підвищені привілеї вбиваємо наступну фразу:
net user адміністратор / active: yes
Тепер можна увійти з використанням даної учеткі.
Вбудований компонент Windows 10
Досить простий метод. У Windows 10 відкриваємо пошук на панелі завдань і вбиваємо слово « Адміністратор».
Натискаємо на результат « Включити вбудованого адміністратора при наступному завантаженні ». Після чого треба перезапустити ПК. 
Використання редактора групових політик
Щоб використовувати цей метод потрібно переконатися, що система має редакцію «Професійна», інакше працювати не буде. Відкриваємо віконце « виконати»За допомогою поєднання Win + R і прописуємо команду gpedit.msc.
Тепер зліва відкриваємо такий розділ:. З правого боку віконця знаходимо параметр «Стан облікового запису Адміністратора». Повинно бути активно. Для цього двічі натискаємо по параметру і включаємо його. 
Після перезавантаження Windows, користувачеві будуть доступні підвищені права.
Налаштування облікових записів користувачів
В будь-який версії Windows є основні параметри облікових записів. Щоб їх налаштовувати треба затиснути клавіші Win + R і прописати команду control userpasswords2.
Йдемо на вкладку «Додатково» і тиснемо кнопку «Додатково» в поле « Додаткове управління користувачами». 
Важливо! В даному способі редакція Windows повинна відповідати професійній, так як в інших версіях « Локальні користувачі та групи" не працюють.
Якщо заголовок був вилучений
Буваю випадки, коли в системі вищевказаними способами виявити обліковий запис з підвищеними правами не вдається. У цьому випадку її могли видалити як користувачі, так і віруси. Для виправлення проблеми варто виконати наступний ряд дій:
- усунення неполадок комп'ютера з безпечного режиму;
- Перевірка комп'ютера на віруси різними утилітами;
- відновлення образу системи за допомогою команди DISM;
- відновлення системи.
В одній зі своїх статей я вже писав про те, що додавати і змінювати властивості облікових записів користувачів можна через "Панель управління" - "Облікові записи користувачів". Однак даний спосіб більше підходить для простих користувачів. А ось системному адміністратору буде зручніше керувати обліковими записами через консоль "Управління комп'ютером" - "Локальні користувачі та групи".
Щоб потрапити в консоль "Управління комп'ютером" клацніть правою клавішею миші по значку "Мій комп'ютер" на робочому столі і виберіть пункт "Управління". Далі розкрийте розділ "Службові програми" і виберіть пункт "Локальні користувачі та групи".
Оснастка "" призначена для створення нових користувачів і груп, управління обліковими записами, завдання і скидання паролів користувачів. 
локальний користувач
- це обліковий запис, якій можуть бути надані певні дозволи і права на вашому комп'ютері. Обліковий запис завжди має своє ім'я і пароль (пароль може бути порожнім). Ви також можете почути іншу назву облікового запису користувача - аккаунт
, А замість "ім'я користувача" часто говорять логін
.
Вузол оснастки "Локальні користувачі та групи" відображає список облікових записів користувачів: вбудовані облікові записи (наприклад, "Адміністратор" і "Гість"), а також створені вами облікові записи реальних користувачів ПК. 
Вбудовані облікові записи користувачів створюються автоматично при установці Windows і не можуть бути видалені. При створенні нового користувача ви повинні будете надати йому ім'я і пароль (бажано), а також визначити, в яку групу буде входити новий користувач. Кожен користувач може входити в одну або кілька груп.
У вузлі відображаються як вбудовані групи, так і створені адміністратором (тобто вами). Вбудовані групи створюються автоматично при установці Windows. 
Належність до групи надає користувачеві певні права на виконання різних дій на комп'ютері. користувачі МП адміністратори
мають необмежені права. Рекомендується використовувати адміністративний доступ тільки для виконання наступних дій:
- установки операційної системи і її компонентів (драйверів пристроїв, системних служб, пакети оновлень);
- оновлення та відновлення операційної системи;
- установки програм і додатків;
- настройки найважливіших параметрів операційної системи (політики паролів, управління доступом і т.п.);
- управління журналами безпеки та аудиту;
- архівування та відновлення системи і т.п.
Ви, як системний адміністратор, повинні мати обліковий запис, що входить в групу "Адміністратори". Всі інші користувачі комп'ютера повинні мати облікові записи, що входять у групу "Користувачі", або в групу "Досвідчені користувачі".
Додавання користувачів до групи Користувачі є найбільш безпечним, оскільки дозволу, надані цій групі, не дозволяють користувачам змінювати параметри операційної системи або дані інших користувачів, установки деякого ПО, але також не допускають виконання застарілих додатків. Я сам неодноразово стикався з ситуацією, коли старі DOSовскіе програми не працювали під обліковим записом учасника групи "Користувачі".
Група досвідчені користувачі підтримується, в основному, для сумісності з попередніми версіями Windows, для виконання несертифікованих і застарілих додатків. "Досвідчені користувачі" мають більше дозволів, ніж члени групи "Користувачі", і менше, ніж "Адміністратори". Дозволи за замовчуванням, надані цій групі, дозволяють членам групи змінювати деякі параметри комп'ютера. Якщо необхідна підтримка не сертифікованих під Windows додатків, користувачі повинні бути членами групи "Досвідчені користувачі".
Обліковий запис Гість надає доступ на комп'ютер будь-якому користувачеві, який не має облікового запису. Для підвищення рівня безпеки комп'ютера рекомендують відключати обліковий запис "Гість" і налаштовувати доступ до загальних ресурсів ПК існуючим користувачам.
Тепер давайте подивимося, як відбувається створення облікового запису через консоль "Управління комп'ютером" - "Локальні користувачі та групи".
Створення облікового запису
При установці оригінальної версії Windows XP (мається на увазі не збірка від Zver або т.п.) пропонується створити облікові записи користувачів комп'ютера. Необхідно створити як мінімум один обліковий запис, під якою ви зможете увійти в систему при першому запуску. Але, як правило, в реальному житті потрібно створювати кілька облікових записів для кожного користувача, що працює за комп'ютером, або для групи користувачів, об'єднаних спільним завданням і дозволами доступу.
Для додавання нового облікового запису розкрийте оснастку "Локальні користувачі та групи" - виділіть папку "Користувачі" - потім в правому вікні клацніть на порожньому місці правою кнопкою миші - виберіть пункт "Новий користувач": 
У вікні задайте ім'я користувача і опис. Також задайте для користувача пароль (як придумати надійний пароль для облікового запису можете прочитати).
Потім потрібно вказати додаткові параметри - поставте або зніміть прапорці навпроти потрібних пунктів: 
Можна зняти прапорець навпроти пункту "Вимагати зміну пароля при наступному вході в систему" і поставити прапорці навпроти "Заборонити зміну пароля користувачем" і "Термін дії пароля не обмежений". У цьому випадку користувач не зможе сам змінити пароль свого облікового запису. Це можете робити тільки ви, працюючи під адміністраторській обліковим записом.
Після натискання кнопки "Створити" в списку користувачів з'явиться новий обліковий запис. Клацніть по ній двічі мишкою і у вікні, перейдіть на вкладку "Членство в групах". Тут натисніть кнопку "Додати" - "Додатково" - "Пошук". Потім виберіть групу, в яку повинен входити користувач (рекомендується група "Користувачі" або "Досвідчені користувачі") і натисніть "ОК" у всіх відобразилися вікнах. Після цього тут же у вкладці "Членство в групах" видаліть зі списку всі групи, крім тієї, яку тільки що вибрали. Натисніть "ОК": 
Таким чином, ви створили новий обліковий запис і включили її в групу.
Тепер повідомте користувачеві (в нашому випадку Іванову) ім'я його облікового запису ( iva) І пароль, щоб він зміг увійти в систему. На всіх комп'ютерах мережі, до ресурсів яких Іванову необхідний доступ, потрібно буде створити таку ж обліковий запис з аналогічними параметрами. Якщо ж на якомусь комп'ютері мережі не буде облікового запису для Іванова і при цьому буде відключена обліковий запис "Гість", то Іванов не зможе переглянути загальні мережеві ресурси даного комп'ютера.
Якщо обліковий запис користувача більше не потрібна, її можна видалити. Але щоб уникнути різного роду проблем облікові записи користувачів перед видаленням рекомендується спочатку відключити. Для цього клацніть правою кнопкою миші на ім'я облікового запису - виберіть "Властивості" - у вікні властивостей облікового запису встановіть прапорець навпроти "Відключити обліковий запис" і натисніть "ОК". Переконавшись, що це не викликало неполадок (прослідкуйте за мережею кілька днів), можна безпечно видалити обліковий запис: клацніть правою кнопкою миші по імені облікового запису та в контекстному меню виберіть "Видалити". Вилучену обліковий запис користувача і всі дані, пов'язані з нею, відновити неможливо.
управління доступом
Отже, припустимо, за одним комп'ютером працює кілька користувачів, і ви створили для кожного свій обліковий запис за описаними вище правилами. Але раптом з'явилася необхідність закрити доступ до деяких папок або файлів на комп'ютері для тих чи інших користувачів. Дане завдання вирішується шляхом призначення певних прав доступу до ресурсів комп'ютера.
управління доступом полягає в наданні користувачам, групам і комп'ютерів певних прав на доступ до об'єктів (файлів, папок, програм і т.д.) по мережі і на локальній машині.
Управління доступом для користувачів локального комп'ютера здійснюється шляхом зміни параметрів на вкладці " Безпека"У вікні" Властивості ":
Налаштування безпеки для папки "Мої документи"
вкладка " доступ"Того ж вікна використовується для управління мережевим доступом до загальних об'єктів (файлів, папок і принтерів) на комп'ютерах мережі.
У даній статті ми будемо говорити про розмежування доступу локальних користувачів до об'єктів локального комп'ютера. Ця функція доступна тільки в файлової системі NTFS. Якщо на комп'ютері файлову систему NTFS, але вкладка "Безпека" не відображається, зайдіть в "Пуск" - "Панель управління" - "Властивості папки". На вкладці "Вид" в розділі "Додаткові параметри" зніміть прапорець " Використовувати простий спільний доступ до файлів (рекомендовано)"І натисніть" ОК ": 
Основне поняття, пов'язане з управлінням доступом - це Дозволи
.
Дозволи визначають тип доступу користувача або групи до об'єкту або його властивостями. Дозволи застосовуються до файлів, папок, принтерів, об'єктам реєстру. Щоб встановити або змінити дозволи для об'єкта, клацніть по його назві правою кнопкою миші і в контекстному меню виберіть команду "Властивості". На вкладці "Безпека" можна змінити дозволу для файлу або папки, встановлюючи або знімаючи прапорці навпроти потрібних пунктів в списку дозволів.
Для кожного користувача можна задати свої дозволу. Спочатку потрібно виділити користувача в списку, а потім вказати дозволу для цього користувача. Наприклад, одному користувачеві можна дозволити тільки читати вміст деякого файлу (дозвіл " читання"), Іншому - вносити зміни в файл (дозвіл" змінити"), А всім іншим користувачам взагалі заборонити доступ до цього файлу (зняти всі прапорці під пунктом" дозволити", Або поставити все прапорці" заборонити”).
Щоб переглянути всі чинні дозволи для файлів і папок локального комп'ютера, виберіть "Властивості" - "Безпека" - "Додатково" - "Діючі дозволу" - "Вибрати" - "Додатково" - "Пошук", щоб перейти до імені потрібного користувача і натисніть "ОК ". Пункти, відмічені прапорцями, і є дозволи для даного користувача: 
У цьому ж вікні ви можете ознайомитися з вкладками "Дозволи", "Аудит", "Власник". Я не буду зупинятися на них докладно в рамках даної статті, тому що вона і так виходить дуже об'ємною.
Якщо в списку користувачів на вкладці "Безпека" немає користувача, якому необхідно встановити дозволи, послідовно натисніть такі кнопки на вкладці "Безпека": " Додати” – “додатково” – “Пошук". Зі списку виберіть ім'я облікового запису користувача, якому необхідно встановити дозволи і натисніть "ОК". Замість окремого користувача можна вибрати групу - дозволу застосовуватимуться до всіх користувачів, що входять в цю групу. Добре запам'ятайте ці кнопки. Таку процедуру ви будете проробляти в усіх випадках, коли необхідно додати нового користувача в список дозволів, аудиту, володіння, мережевого доступу і т.п.
Управління доступом застосовується не тільки для користувачів локального комп'ютера, Але і для доступу до загальних файлів, папок і принтерів по мережі. Про розмежування прав доступу для користувачів мережі стосовно папці я вже розповідав в статті.