2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как в ОС Windows 7 получить права локального администратора

Содержание

Как в ОС Windows 7 получить права локального администратора

Операционная система Виндовс позволяет работать за одним персональным компьютером сразу нескольким пользователям одновременно. Как минимум один из созданных в ОС аккаунтов должен являться администратором, чтобы иметь возможность управлять всеми конфигурациями Windows и параметрами других пользователей. В данной статье описывается, как в системе Windows 7 можно получить права учетной записи администратора и получить возможность изменения любых системных настроек.

  • Типы записей
  • Изменение типа аккаунта
  • Временные полномочия
  • Режим Администратора

По умолчанию, при установке Виндовс на компьютере создается 2 учетки – пользователя с возможностью временного доступа к администраторским правам и Administrator – аккаунт с максимально возможными правами. Далее в статье описаны способы, как включить учетную запись администратора, а также отключить ее.

Командная строка

Быстрее и проще всего включить учетную запись администраторе из командной строки, запущенной с повышенными привилегиями.

Для этого, выполните команду:

net user administrator /active:yes

Совет. Если команда возвращает, что имя не найдено, вероятно, учетная запись администратора у вас переименована. Вывести список всех учетных записей можно командой:

В нашем случае (русская версия Windows 10) учетка называется «Администратор». Активируем ее командой:

net user Администратор/active:yes

По-умолчанию для этой учетной записи не задан пароль (пустой пароль), поэтому настоятельно рекомендуем изменить его на что-то достаточно сложное. Задается пароль командой (пароль нужно будет указать дважды).

net user Администратор *

Как получить полные административные права в Windows 8.1

Есть три основных способа получения полного доступа ко всему функционалу Windows 8.1:

  • через окно lusmgr — «[Локальные пользователи и группы (локально)Пользователи]»;
  • через окно «Локальная политика безопасности»;
  • с помощью командной строки.

Локальные группы и пользователи

  1. На клавиатуре нажмите комбинацию Win+R и в открывшемся диалоговом окне введите строку lusrmgr.msc, после чего кликните левой кнопкой мыши на «ОК». Ввод и выполнение команды lusrmgr.msc
  2. Последовательно выберите «Пользователи -> Администратор -> Свойства».
    Переход к свойствам учетной записи администратора
  3. В открывшемся окне свойств администратора снимите галочку с чекбокса «Отключение учётной записи» и кликните «ОК».

Снятие блокировки с учетной записи администратора

Локальная политика безопасности

  1. Так же, как и в предыдущем варианте, выберите комбинацию Win+R, в текстовом поле введите строку secpol.msc и кликните мышкой на «ОК» или просто нажмите Enter на клавиатуре. Ввод и выполнение команды secpol.msc
  2. Раскройте вкладку «Локальные политики» и далее «Параметры безопасности». Активируйте в средней части окна с помощью левой кнопкой мыши пункт «Учетные записи: Состояние учетной записи Администратора». Справа напротив выбранного пункта правой кнопкой мыши выберите его свойства.
    Переход к состоянию учетной записи администратора
  3. Отметьте радиокнопку «Включён» и нажмите «ОК».

Включение учетной записи администратора

Командная строка

  1. Выберите щелчком правой кнопкой мыши «Пуск» и затем «Командная строка (администратор)». Открытие командной строки
  2. В открывшемся окне в командной строке введите директиву net user Администратор /active:yes, нажмите Enter и закройте консоль.

Выполнение команды активации учетной записи администратора

Таким же способом можно при необходимости деактивировать администраторский доступ с помощью команды net user Администратор /active:no или установить пароль для входа, введя net user Administrator password.

Для обеспечения безопасности Windows 8.1 используйте административную учётную запись только как временную, при невозможности решить возникающие проблемы другими способами, после чего переходите к запуску операционной системы в обычном режиме.

Получение прав администратора в Windows 8.1 (видео)

Устанавливаем программу без прав администратора

В сети интернет присутствует множество различного ПО, позволяющего обходить защиту и выполнять инсталляцию программы под видом обычного пользователя. Мы не рекомендуем их использовать особенно на рабочих компьютерах, так как это может нести за собой серьезные последствия. Мы же представим безопасные способы установки. Давайте рассмотрим их подробнее.

Способ 1: Выдача прав на папку с программой

Чаще всего права администратора софту требуются в том случае, когда будут проводиться действия с файлами в своей папке, например, на системном разделе жесткого диска. Владелец может предоставить полные права другим юзерам на определенные папки, что позволит выполнять дальнейшую установку под логином обычного пользователя. Делается это следующим образом:

  1. Войдите в систему через учетную запись администратора. Подробнее о том, как это сделать в Виндовс 7 читайте в нашей статье по ссылке ниже.

Перейдите к папке, в которую в дальнейшем будут устанавливаться все программы. Нажмите на нее правой кнопкой мыши и выберите «Свойства».

Откройте вкладку «Безопасность» и под списком нажмите на «Изменить».

Теперь во время установки программы вам потребуется указать папку, к которой предоставили полный доступ, и весь процесс должен пройти успешно.

Читать еще:  У вас не работает восстановление системы Windows?

Способ 2: Запуск программы с учетной записи обычного пользователя

В тех случаях когда нет возможности попросить администратора предоставить права доступа, рекомендуем воспользоваться встроенным в Windows решением. С помощью утилиты через командную строку осуществляются все действия. От вас требуется только следовать инструкции:

    Откройте «Выполнить» нажатием горячей клавиши Win + R. Введите в строку поиска cmd и нажмите «ОК»

runas /user:User_Nameadministrator Program_Name.exe

  • Иногда может потребоваться ввод пароля учетной записи. Напишите его и нажмите Enter, после чего останется только дождаться запуска файла и выполнить установку.
  • Способ 3: Использование портативной версии программы

    Некоторое ПО имеет портативную версию, не требующую установки. Вам будет достаточно скачать ее с официального сайта разработчика и запустить. Выполнить это можно очень просто:

    1. Перейдите на официальный сайт необходимой программы и откройте страницу загрузки.
    2. Начните загрузку файла с подписью «Portable».

    Откройте скачанный файл через папку загрузок или сразу из браузера.

    Вы можете перекинуть файл софта на любое съемное устройство хранения информации и запускать его на разных компьютерах без прав администратора.

    Сегодня мы рассмотрели несколько простых способов как установить и использовать различные программы без прав администратора. Все они не сложные, но требуют выполнения определенных действий. Мы же рекомендуем для установки софта просто войти в систему с учетной записи администратора, если это доступно. Подробнее об этом читайте в нашей статье по ссылке ниже.

    Решение проблем учетных записей

    Недавно в гостинице мне понадобилось вывести на печать электронный авиабилет из Internet Explorer (IE) с ноутбука Windows 7. Владелец отеля предложил мне свой принтер и диск с драйвером, от которого я отказался, зная, что мой ноутбук, подключенный к Интернету, сам найдет нужный драйвер в Центре обновления Windows, что он и сделал за считанные секунды. Весь процесс, включая печать, прошел без проблем. Что самое важное, для выполнения установки мне не потребовалось повышать полномочия стандартного пользователя до прав администратора.

    Первое, что делают многие системные администраторы при подготовке к работе нового компьютера, особенно ноутбука, — это перемещение учетных записей пользователей домена в локальную группу администраторов и, что еще хуже, выключение контроля учетных записей пользователей (UAC) в Windows Vista и более новых версиях. Это часто делается в случаях, аналогичных описанному выше, когда пользователю необходимо установить драйвер устройства или выполнить другую задачу административного уровня. Однако изменения в реализации UAC и модели безо­пасности в Windows 7 предоставляют обычному пользователю возможность обходиться без прав администратора.

    Установка устройств

    Параметр реестра DevicePath в Windows существует давно; он позволяет администратору указывать надежные источники, в которых, помимо папки %SystemRoot%inf по умолчанию, система ищет нужный драйвер при подключении нового устройства. Начиная с Windows 7 стандартные пользователи могут добавлять подписанные драйверы в локальное хранилище драйверов из источников, указанных в значении параметра реестра DevicePath, или из центра обновления Windows.

    Если пакеты драйверов хранятся в сети, то можно включить в значение параметра реестра DevicePath соответствующий сетевой путь, чтобы система Windows, помимо хранящихся в памяти компьютера драйверов, просматривала и сетевое хранилище: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionDevicePath. Включаемые пути должны отделяться друг от друга точкой с запятой: %SystemRoot%Inf;\servername drivers.

    В Windows 7 сохраняется требование, согласно которому драйверы должны быть подписаны действующим сертификатом, который является доверительным для данного локального компьютера. Кроме того, 64-разрядные версии Windows предусматривают специальные требования к драйверам режима ядра, которые должны быть подписаны сертификатом издателя программного обеспечения из составленного Microsoft списка утвержденных удостоверяющих центров (CA). Ознакомиться со списком можно по ссылке www.microsoft.com/whdc/winlogo/drvsign/crosscert.mspx. Хотя в Windows 7 большинство существующих устройств могут быть установлены без административных прав, набор драйверов Windows включает средства, необходимые для подписания драйверов устройств (www.microsoft.com/whdc/devtools/wdk/wdkpkg.mspx).

    В Windows 7 и Vista существует программа pnputil.exe, которую можно использовать для регистрации драйверов в локальном хранилище. Будучи помещенным в локальное хранилище, драйвер считается доверительным и устанавливается при подключении пользователем соответствующего устройства. Регистрация драйверов с помощью pnputil.exe может быть необязательной, но обеспечивает безотказность взаимодействия системы с пользователем при подключении ранее удаленного устройства. Драйверы, уже добавленные в локальное хранилище, могут быть пронумерованы с использованием pnputil.exe и с указанием ключа -e.

    Параметры групповой политики в Windows 7 и Vista позволяют указывать устройства, которые могут быть установлены обычным пользователем, по идентификатору GUID. В Windows Server 2008 и более поздних версиях в Computer ConfigurationPoliciesAdministrative TemplatesSystemDriver Installation имеется параметр групповой политики «Разрешить пользователям, которые не являются администраторами, устанавливать драйверы для этих классов установки устройств». Для стандартных пользователей возможны следующие сценарии установки драйверов устройств:

    • в Windows уже включен драйвер, поддерживающий подключаемое устройство;
    • драйвер устройства зарегистрирован администратором в локальном хранилище драйверов с помощью pnputil.exe или dism.exe;
    • драйвер, подписанный с использованием действующего сертификата и являющийся доверительным для данного локального компьютера, имеется в центре обновления Windows или в источнике, указанном в значении DevicePath системного реестра (только Windows 7);
    • имеется драйвер, подписанный с использованием действующего сертификата и являющийся доверительным для данного локального компьютера, а идентификатор GUID соответствующего устройства указан в списке параметра политики «Разрешить пользователям, которые не являются администраторами, устанавливать драйверы для этих классов установки устройств» (Vista и последующие версии).

    Сетевые принтеры

    Само по себе развертывание и управление принтерами — не слишком тяжелая работа, но введение учетных записей обычных пользователей на рабочих станциях может оказаться сложной задачей. Возможность для обычного пользователя устанавливать драйверы для сетевых принтеров порождает проблемы. Одно из преимуществ использования серверов печати Windows в сети состоит в том, что в большинстве случаев для установки сетевых принтеров под управлением Windows Server пользователям не требуется административных прав. Если драйвер принтера, установленный на сервере печати, является собственным драйвером Windows (то есть включен в установку Windows по умолчанию) либо входит в пакет подписанных драйверов принтера, то для его установки права администратора не требуются. Кроме того, может быть использована групповая политика для развертывания принтеров через консоль управления печатью без необходимости административных полномочий.

    Однако многие организации желают избежать затрат, связанных с использованием сервера печати Windows, поэтому существуют обходные пути обеспечения возможности установки сетевых принтеров стандартными пользователями. Основная проблема при обслуживании сетевых принтеров, не управляемых сервером печати Windows, — необходимость настройки локального порта TCP/IP на каждом клиенте для их развертывания, что требует наличия прав администратора.

    Для развертывания принтеров TCP/IP для стандартных пользователей можно применять предпочтения групповой политики, однако в этом случае при первоначальном развертывании требуется установка принтера на сервере печати Windows для распределения драйвера. После установки принтера на всех нужных устройствах сервер печати Windows можно выключить и направлять задания печати непосредственно на устройство. На практике использование предпочтений групповой политики для развертывания принтеров TCP/IP для обычных пользователей имеет ряд недостатков.

    • Необходимость развертывания клиентских расширений предпочтений групповой политики на компьютерах под управлением других операционных систем (не Windows 7).
    • Если используются предпочтения конфигурации компьютера для развертывания принтеров TCP/IP — необходимость выключения параметра «Ограничения указания и печати» групповой политики в Computer ConfigurationAdministrative TemplatesPrinters, чтобы отключить выдачу предупреждений или запросов на повышение прав во время установки.
    • Предпочтения групповой политики поддерживают развертывание принтеров, только если выбран процессор печати WinPrint при установке для развертывания на сервере печати Windows. При другом варианте выбора данный процессор печати должен быть уже установлен на устройствах, где будет развертываться принтер. WinPrint может не поддерживать расширенные функции принтера.

    Нежелательные запросы UAC на повышение прав

    Некоторые приложения без достаточных оснований требуют наличия прав администратора при запуске. Пользователь, вошедший в систему под стандартной учетной записью, при запуске такого приложения получает запрос UAC на ввод пароля учетной записи администратора. Если не ввести пароль и ответить «Нет» на вопрос «Разрешить следующей программе внести изменения на этом компьютере?», приложение не запускается.

    На первый взгляд может показаться, что есть только два решения: запустить приложение с правами администратора или выключить UAC, причем оба варианта нежелательны. Каждый исполняемый файл в системе может сопровождаться манифестом приложения, представляющим собой файл. xml с параметрами, определяющими характер взаимодействия приложения с UAC. Обычно манифест приложения внедрен в исполняемый файл, но иногда он может быть самостоятельным файлом в каталоге приложения.

    Для решения проблемы в состав инфраструктуры совместимости приложения включена оболочка совместимости RunAsInvoker, позволяющая запускать приложение без полномочий, связанных с процессом создания, и без необходимости повышения прав. По возможности, однако, предпочтительно изменять манифест исполняемого файла.

    Компания Heaven Tools предлагает программу Resource Tuner (www.heaventools.com/resource-tuner.htm), позволяющую администратору изменять манифесты приложений, внедренные в предварительно скомпилированные исполняемые файлы. Запуск этой программы и изменение кода. xml чрезвычайно просты. Все, что нужно, — найти папку Manifest в обозревателе ресурсов и сменить значение requestedExecutionLevel с requireAdministrator на asInvoker, а затем сохранить изменения в исполняемом файле. Ниже приведен пример для тега «security» в файле манифеста приложения:

    При работе с Visual Studio (VS) можно задействовать файл mt.exe для добавления или изменения манифеста приложения. Это часть пакета средств разработки Windows SDK.

    Если изменение манифеста приложения невозможно, загрузите набор средств для обеспечения совместимости приложений — Application Compatibility Toolkit (ACT) 5.5, доступный для бесплатной загрузки с сайта Microsoft, и используйте Compatibility Administrator для создания исправления совместимости с помощью оболочки RunAsInvoker, а затем разверните полученную в результате базу данных на рабочих станциях. Для этого нужно сделать следующее.

    1. Войдите в систему Windows 7 как администратор и установите ACT.
    2. В меню «Пуск» откройте папку Application Compatibility Toolkit 5.5 и под заголовком Custom Databases на левой панели выберите New Database и нажмите Ctrl+R.
    3. Введите имя новой базы данных и нажмите «Ввод».
    4. Нажмите Ctrl+P для создания нового исправления приложения. В диалоговом окне Create New Application Fix введите имя исправляемой программы.
    5. Нажмите кнопку Browse, найдите исполняемый файл, к которому необходимо применить исправление, и нажмите Open. Для продолжения щелкните Next.
    6. На вкладке Compatibility Modes в Operating Systems выберите None и нажмите Next. На экране Compatibility Fixes прокрутите вниз меню и выберите исправление RunAsInvoker (экран 1).
    7. На данном этапе можно выбрать пробный запуск Test Run, чтобы убедиться в реализации желаемого эффекта созданного исправления на приложение. Для продолжения нажмите Next.
    8. В экране Matching Information можно выполнить точную настройку, регулирующую процесс определения исполняемого файла обработчиком совместимости. Оставляем установки по умолчанию и нажимаем кнопку Finish.
    9. Щелчком на значке Save в верхней части окна администратора совместимости (экран 2) сохраняем базу данных на диск C локального компьютера.
    10. В меню File выбираем Install и нажатием на OK подтверждаем установку базы данных. После этого становится возможным запуск целевого приложения без повышения прав.

    После основательного тестирования исправления совместимости можно осуществить его распространение. Для этого воспользуйтесь групповой политикой и пакетным файлом с командой sdbinst.exe.

    UAC как периметр безопасности

    По заявлению Microsoft, UAC — это функция безопасности, а не периметр безопасности. Хотя регистрация в системе под защищенной учетной записью администратора не обеспечивает периметр безопасности, учетная запись стандартного пользователя с включенной службой UAC предусматривает определенную защиту. Конфигурация UAC по умолчанию предусматривает включение так называемого повышения прав внутри сеанса пользователя, по типу over-the-shoulder (OTS). Если запуск UAC инициирован установщиком приложения либо если манифест приложения требует запуска исполняемого файла с правами администратора, система выдает запрос на ввод пароля администратора для продолжения. Этот процесс предусматривает переход в безопасный рабочий стол (изолированный от рабочего стола пользователя сеанс) для исключения вмешательства вредоносных программ. Защита представляется надежной, не правда ли?

    Проблема OTS-повышения прав состоит в том, что вредоносные программы сами могут инициировать безопасный рабочий стол и украсть пароль администратора, вводимый ничего не подозревающим пользователем. Поэтому Microsoft рекомендует выключать повышение прав по типу OTS для учетных записей стандартных пользователей в групповой политике для снижения уязвимости в корпоративных средах.

    Отключение повышения прав типа OTS означает также отключение возможности щелчком правой кнопки на исполняемом файле открывать меню и выбирать пункт «Запуск от имени администратора». Техническому персоналу это может показаться недостатком, однако остается возможность, удерживая Shift, щелкнуть правой кнопкой, открыть меню и выбрать пункт «Запуск от имени другого пользователя».

    Альтернатива отключению повышения прав OTS — включение специального сочетания клавиш Secure Attention Sequence (SAS) в настройках групповой политики. При этом переход в безопасный рабочий стол происходит не автоматически, а путем ввода комбинации Ctrl+Alt+Del. Поскольку эмуляция специального сочетания клавиш исключается, а возможен лишь физический ввод указанной комбинации, пользователь может быть уверен, что безопасный рабочий стол — настоящий. Включение SAS можно выполнить с использованием параметра групповой политики «Требовать достоверный путь для регистрации с учетной записью» в Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsCredential User Interface. Следует, однако, иметь в виду, что SAS представляет значительное неудобство, если повышение прав требуется регулярно.

    Безопасность — не утопия

    Windows 7, как никогда, облегчает работу пользователя. Однако увеличение числа пользователей, входящих в систему без прав администратора, повышает вероятность развития вредоносных программ, избирающих мишенью такие сеансы. Различные технологии, такие как политики ограниченного использования программ Software Restriction Policies, реализованные в Vista и более ранних версиях, и компонент AppLocker, имеющийся в Windows Server 2008 R2 и в некоторых выпусках Windows 7, могут применяться для составления белых списков приложений, что будет иметь важное значение для предотвращения воздействия вредоносных программ такого типа.

    Рассел Смит (rms@russell-smith.net) — независимый ИТ-консультант, специализируется на управлении системами

    Поделитесь материалом с коллегами и друзьями

    Снимаем триггер в групповой политике: для всей системы в целом

    Права-то правами, но и сама система UAC с сопутствующими функциями работает далеко не безошибочно. Так что есть вариант проверить настройки для Контроля учётных записей: не появилось ли там некое событие, которое и заставляет UAC “нервно реагировать”. Вводим быструю команду в строке поиска

    Крутим справа мышкой до пункта Контроль учётных записей: все администраторы работают в режиме… :

    Двойным по нему щелчком выключаем в свойствах.

    Как установить права администратора

    Установка проста, если у вас есть (вам известен) пароль к учетной записи. Заметьте, что войти с правами администратора, не значит, что полностью ими обладать.

    Чтобы производить запуск программ (приложений) с ними, можно нажать на ярлык правой клавишей мышки и в самом вверху выбрать опцию «запуск с правами адм…»

    В windows 7 получить их можно и на постоянной основе, только, как я писал выше, определитесь — действительно ли они для вас так уж важны и для этого нужно быть единственным пользователем компьютера или узнать пароль учетной записи.

    Разработчики «Майкрософт» операционной системы windows 7 создали ее таким образом, что устанавливая только одну учетную запись, которая по идеи должна обладать всеми правами какие только есть — этой функции не получает.

    Некоторые команды, касательно изменения системных файлов ей неподвластны. Это даже лучше, особенно для неопытных, ведь защита компьютера, получается на ступень выше.

    Если к этому добавить UAS, то еще один пункт подымится. Более продвинутые пользователи могут эти ограничения снять, если система требует права админа. Для этого получите их через командную строку.

    Действия, доступные от имени администратора

    Новичков в Windows 7, 8 и 10 будет интересно узнать, что некоторые операции можно выполнить лишь под администраторской записью или же от имени. Это:

    • Установка обновлений для ОС;
    • Контроль за учетными записями;
    • Родительский контроль;
    • Изменение параметров меню «Пуск»;
    • Процесс восстановления системных файлов.

    Это – перечень главных возможностей, но они далеко не все. Если в процессе работы понадобиться внести изменения в системные параметры, от пользователя потребуется знания и умения выполнять те или иные действия от имени администратора или можно воспользоваться услугами системного администратора.

    Переменная окружения __COMPAT_LAYER и параметр RunAsInvoker

    Переменная окружения __COMPAT_LAYER позволяет устанавливать различные уровни совместимости для приложений (вкладка Совместимость в свойствах exe файла). С помощью этой переменной можно указать настройки совместимости, с которыми нужно запускать программу. Например, для запуска приложения в режиме совместимости с Windows 7 и разрешением 640×480, установите:

    set __COMPAT_LAYER=Win7RTM 640×480

    Из интересных нам опций переменной __COMPAT_LAYER выделим следующие параметры:

    • RunAsInvoker — запуск приложения с привилегиями родительского процесса без запроса UAC.
    • RunAsHighest — запуск приложения с максимальными правами, доступными пользователю (запрос UAC появляется если у пользователя есть права администратора).
    • RunAsAdmin — запуск приложение с правами администратора (запрос AUC появляется всегда).

    Т.е. параметр RunAsInvoker не предоставляет права администратора, а только блокирует появления окна UAC.

    Ссылка на основную публикацию
    Статьи c упоминанием слов:
    Adblock
    detector