Programmi käitamine erineva kasutajana (RunAs) Windowsis

Iga Windowsi kasutaja saab oma praeguses seansis programmi käivitada teise kasutaja nimel kasutades RunAs. See võimaldab teil käivitada skripti (.bat, .cmd, .vbs, .ps1), käivitatavat exe-faili või installida rakendust (.msi, .cab) teise kasutaja lubadega.

Näiteks võite kasutada RunA-sid rakenduste installimiseks või MMC lisandmoodulite käitamiseks administraatori konto all kõrgendatud (privilegeerimata) kasutajaseansil. Samuti saate RunAsi kasutada teise kasutaja profiilis konfigureeritud rakenduse käivitamiseks (rakendus laadib oma seaded teise kasutaja profiililt).

Programmi või protsessi teise kasutajana Windowsis käitamiseks on mitu võimalust.

The Teisene sisselogimine teenus (seclogon) vastutab selle eest, et programmid saaksid Windowsis erinevate kasutajatena töötada. Kui see teenus peatatakse, ei tööta kõik kirjeldatud RunAsi meetodid. Teenuse käivitamist saate kontrollida järgmiselt PowerShell käsk:

Get-Service seclogon

Kuidas käivitada rakendusi File Explorerist erineva kasutajana?

Lihtsaim viis rakenduse käivitamiseks teise kasutaja all on kasutada Windows File Exploreri GUI-d. Lihtsalt leidke rakendus (või otsetee), mida soovite käivitada, hoidke all nuppu Shift klahvi ja paremklõpsake seda. Valige Käita erineva kasutajana kontekstimenüüs.

Märge. Kui menüüelement "Käita erineva kasutajana” puudub, kerige artiklit alla.

Ilmuvas Windowsi turvalisuse aknas peate määrama selle kasutaja nime ja parooli, kelle konto all soovite rakendust käivitada ning klõpsake nuppu Okei.

Tähtis. Saate programmi teise kasutajana käivitada ainult siis, kui sellele kasutajale on määratud parool. Te ei saa Runast kasutada tühja parooliga kasutaja jaoks

Avage tegumihaldur ja veenduge, et rakendus töötaks määratud kasutajakonto all.

Käsk RunAs: käivitage programm CMD-st erineva kasutaja all

Saate kasutada Windowsi sisseehitatud runas.exe CLI-tööriist rakenduste käitamiseks käsurealt erineva kasutajana. The runas käsk võimaldab salvestada ka kasutaja parooli Windowsi mandaadihaldurisse, nii et te ei peaks seda iga kord sisestama.

Avage käsuviip (või Jookse aken vajutades Win+R). Notepad.exe käivitamiseks administraatori konto all käivitage see käsk:

runas /user: admin "C:\Windows\notepad.exe"

Järgmises aknas ilmub teade “Sisesta administraatori parool”, kus tuleb sisestada kasutaja parool ja vajutada sisestusklahvi.

Teie rakendus peaks algama. Minu puhul on see cmd.exe. Akna pealkiri ütleb "töötab kui PCName\kasutajanimi“:

Näiteks saate juhtpaneeli avada mõne teise kasutaja all:

runas /user: admin control

Kui teil on vaja mõnda programmi domeeni kasutajana käivitada, kasutage järgmist nimevormingut [email protected] või DomainName\UserName. Näiteks tekstifaili avamiseks domeeni kasutajakonto nimel Notepadi abil kasutage käsku:

runas /user: corp\server_admin "C:\Windows\system32\notepad.exe C:\ps\region.txt"

Sisestage parool corp\server_admin: Proovitakse käivitada C:\Windows\system32\notepad.exe C:\ps\region.txt kasutajana "corp\server_admin" ...

RUNAS ERROR: ei saa käivitada – teie käsk. 1326: kasutajanimi või parool on vale.

RUNAS ERROR: kasutaja parooli ei saa hankida

Mõnikord peate käivitama programmi domeeni kasutajana arvutist, mis ei ole liitunud Active Directory domeenile. Sel juhul peate kasutama järgmist käsku (eeldatakse, et DNS-server, mis suudab selle domeeni lahendada, on määratud võrgusätted teie arvutist):

runas /netonly /user: contoso\bmorgan cmd.exe

Kui te ei soovi programmi teise kasutajana käivitamisel kasutajaprofiili laadida, kasutage /noprofile parameeter. Sel juhul käivitub rakendus palju kiiremini, kuid võib põhjustada kasutaja profiilis andmeid salvestavate programmide ebaõiget tööd.

RunAs kasutamine PowerShellis

Kui teil on vaja PowerShelli skriptide kaudu programme/protsesse teise kasutajana käitada, saate kasutada Start-Protsess cmdlet (Windowsi protsesside haldamine PowerShelliga). Esiteks peate hankima kasutaja mandaadid:

$Cred = (Get-Credential)

Protsessi, käsu või rakenduse käivitamiseks teise kasutajana võite kasutada PowerShelli käsku.

Start-Process -FilePath "powershell.exe" -Credential $Cred

Või saate kasutaja mandaadid interaktiivselt hankida Windowsi turbeviipa kaudu.

# Run as Administrator
Start-Process -FilePath "powershell.exe" -Verb RunAs
# Run as from another user
Start-Process -FilePath "powershell.exe" -Verb RunAsUser

Kui teil on vaja programmi käitada administraatorina kõrgendatud režiimis (vaikimisi käitab UAC programmi kõrgendatud kasutaja kontekstis), saate kasutada järgmist PowerShelli käsku:

Start-Process powershell -Credential woshub\jsmith -ArgumentList '-noprofile -command &{Start-Process "cmd.exe" -verb runas}'

Või kolmanda osapoole ShelExeci tööriist:

ShelExec /Verb: runas cmd.exe

Kuidas kasutada RunAs-i ilma parooliviibata?

Saate salvestada sisestatud kasutaja mandaadid (koos parooliga). The /savecred selleks kasutatakse parameetrit.

runas /user: admin /savecred “C:\Windows\cmd.exe”

Pärast parooli määramist salvestatakse see kausta Windowsi mandaadihaldur.

Järgmine kord, kui käivitate käsu runas sama kasutaja all, kus on /savecred klahvi, kasutab Windows automaatselt Salvestatud parool mandaadihaldurist ilma, et palutaks seda uuesti sisestada.

Mandaadihalduris salvestatud mandaatide loendi kuvamiseks kasutage järgmist käsku:

rundll32.exe keymgr.dll, KRShowKeyMgr

Siiski ei ole ohutu kasutada /savecred parameeter. Kasutaja, kelle profiil on salvestanud kellegi teise parooli, saab seda kasutada jooksma mis tahes rakendust või käsku nende õiguste all või isegi muutke teise kasutaja parooli. Samuti on Credential Manageri salvestatud paroole lihtne varastada, seega on see soovitatav et takistada Windowsil paroole salvestamast (ja ärge kunagi salvestage privilegeeritud administraatorikontode parooli).

Märge. Lisaks ei tööta suvand /savecred Windows Home väljaande versioonides.

Käsku RunAs saate kasutada mmc lisandmoodulite käitamiseks teise kasutajana. Näiteks kui soovite käivitada Active Directory kasutajate ja arvutite lisandmoodul (alates RSATi haldustööriistade komplekt) teise kasutajana saate kasutada seda käsku:

runas.exe /user: DOMAIN\USER "cmd /c start \"\" mmc %SystemRoot%\system32\dsa.msc"

Samamoodi saate käivitada mis tahes muud lisandmoodulit (kui teate selle nime).

Kuidas luua otsetee teise kasutajana käitamiseks?

Sa saad loo otsetee töölaual, mis võimaldab teil programmi teise kasutajana käivitada. Looge lihtsalt uus otsetee ja määrake runaskäsk vajalike parameetritega väljal Asukoht:

runas /user: admin “C:\Windows\notepad.exe”

Sellise otsetee käivitamisel palutakse teil sisestada kasutaja parool.

Kui lisate lisaks /savecred parameetris runas otsetee, siis küsitakse parooli ainult üks kord. Parool salvestatakse Credential Manageri ja seda kasutatakse automaatselt, kui käivitate otsetee teise kasutaja nimel ilma parooli küsimata.

Selliseid otseteid kasutatakse üsna sageli selliste programmide käivitamiseks, mille käitamiseks on vaja kõrgendatud õigusi. Siiski on ohutumaid viise käivitage programm ilma administraatoriõigusteta või keelake konkreetse rakenduse jaoks UAC-viipa.

 Windowsis puudub valik „Käivita erineva kasutajana”.

Kui suvand "Käivita erineva kasutajana" puudub rakenduse kontekstimenüüst File Exploreris, peate kontrollima kahe Windowsi registriparameetri väärtusi.

Windowsis saate menüükäsu RunAs peita või kuvada File Exploreris, kasutades kahte registriparameetrit.

• The HideRunAsVerb parameeter (REG_DWORD) registrivõtme HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer all (1 – peida RunAs üksus, 0 – näita seda);
• EnableSecureCredential Prompting (REG_DWORD) jaotises HKLM\ Software\Microsoft\Windows\CurrentVersion\Policies\CredUI (1 – peida, 0 – näita).

Kui Windows ei kuva paremklõpsuga menüüvalikut "Käivita teise kasutajana", kontrollige nende registrisätete väärtusi ja muutke need 0-ks. Domeenikeskkonnas teie saab neid registri parameetreid rühmapoliitika eelistuste abil arvutitesse juurutada.

Parameeter EnableSecureCredentialPrompting vastab eraldi GPO suvandile. Avage kohaliku rühmapoliitika redaktor (gpedit.msc) ja veenduge, et Nõua mandaadi sisestamiseks usaldusväärset teed poliitika on keelatud (või pole konfigureeritud). Arvuti konfiguratsioon -> Haldusmallid -> Windowsi komponendid -> Mandaadi kasutajaliides.

Lisage Windows 10 menüüsse Start suvand "Run As".

Vaikimisi pole Windowsi Start-menüü üksustel suvandit Käivita. Valiku „Käita erineva kasutajana” lisamiseks lubage „Kuva Käivita erineva kasutajana käsul Start” poliitika sisse Kasutaja konfiguratsioon -> Haldusmallid -> Menüü Start ja tegumiriba Kohaliku rühmapoliitika redaktori (gpedit.msc) jaotis.

Või kui fail gpedit.msc puudub, looge uus DWORD-parameeter nimega ShowRunasDifferentuserinStart ja väärtus 1 registrivõtme all HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Explorer. Võite kasutada järgmist PowerShelli käsk registriparameetri lisamiseks:

New-ItemProperty -Path "HKCU:\Software\Policies\Microsoft\Windows\CurrentVersion\Explorer" -Name ShowRunasDifferentuserinStart -Value 1 -PropertyType DWORD -Force

Värskendage rühmapoliitika sätteid (gpupdate /force) ja veenduge, et uus kontekstimenüü Rohkem -> Käita erineva kasutajana on ilmunud programmide jaoks menüüs Start.

Universaalse Windowsi platvormi (UWP, Microsoft Store) rakenduste kontekstimenüüst puudub valik „Käivita erineva kasutajana”. Saate käivitada UWP-rakenduse teise kasutajana käsurealt kasutades runas.exe.

Loetlege oma arvutis olevad Microsoft Store'i rakendused PowerShelli abil.

Get-AppxPackage|select Name

Leiate konkreetse rakenduse:

Get-AppxPackage|where {$_.Name -like '*teams*'} |select Name

Otsige loendist üles soovitud rakenduse nimi. Näiteks jooksma sisseehitatud Microsoft Teamsi vestlusklient teise kasutajana tehke järgmist.

runas /user: user1 "explorer.exe MicrosoftTeams:"