Вопросы Теги

Разрешение неадминистраторам запустить программы как администраторов (как setuid укусил),

Я полностью соглашаюсь с обоими ответами о пути UNC.

Я также хотел бы добавить, что даже с сетевыми дисками у Вас есть простое обходное решение. Можно выполнить резервное копирование на любой из нормальных дисков сервера. И затем можно добавить

xp_cmdshell 'XCOPY [source] [destination] \flags'

Команда SQL к заданию или сценарию SQL Вы работаете.

С xp_cmdshell можно сделать еще более - например, выполняет инструмент командной строки внешнего архива, как 7z для сжатия файла перед копированием его в сетевой диск (когда удаленное соединение будет слишком медленным...),

P.S.: Забыл упоминать, что xp_cmdshell может быть включен и отключен при помощи Инструмента конфигурирования Площади поверхности и путем выполнения sp_configure (и по умолчанию он отключен),

4
задан 16 February 2010 в 23:33
3 ответа

Вот предыдущая очень похожая тема:
Набор uid для окон

Короткий ответ не, с a, но. Длинный ответ:

Надлежащий утвержденный Microsoft способ сделать это должно создать "контейнер" для Вашего приложения, которое перенаправляет что-либо, чему нужны права администратора к подобной области непривилегированного режима. Например, если Ваше приложение попытается сохранить настройку реестра к HKLM, то контейнер поместит его в HKCU вместо этого.

Также проверьте блог Aaron Margosis для большого количества детали об этом типе вещи.

4
ответ дан 3 December 2019 в 03:13
  • 1
    То, в чем я на самом деле нуждаюсь, должно перезапустить сервис. А именно, сервис спулера принтера. –  Lev 17 February 2010 в 00:06
  • 2
    Ahh, хорошо который является другим вопросом - необходимо смочь изменить ACLs на сервисе, чтобы позволить всем пользователям запускать/останавливать сервис. Если бы Вы получаете subinacl, я думаю, что командная строка была бы: subinacl / сервисный спулер/grant=Everyone=F (можно, очевидно, изменить это на определенных пользователей или определенные права доступа) microsoft.com/downloads/… –  MattB 17 February 2010 в 00:17
  • 3
    Я не предоставил бы Всем Полный доступ по 2 причинам. Во-первых Все создают дыру в системе безопасности в, у неаутентифицируемых и непользователей домена теперь будет доступ. Во-вторых, Полный доступ позволяет пользователю изменять ACLs на сервисе (в дополнение к наличию доступа, чтобы остановить и запустить сервис) –  Sam 17 February 2010 в 01:38
  • 4
    Точное замечание - более оптимальным вариантом для фактического ACL мог бы быть " TOP" вместо " F" - это позволит, только запускают/останавливают/приостанавливают/продолжают управление. Чтобы не предоставить его всем, создайте группу (или в AD или в локальной системе) и сделайте/grant=GROUPNAME=TOP –  MattB 17 February 2010 в 01:59

Существует специальная программа в этих целях - Admilink.

Это создает специальный зашифрованный канал в целенаправленный файл (я тестирую в только с .exe файлами) - необходимо сделать это действие только однажды. Когда Вы нажимаете на ссылку - программа (Admirun.exe) автоматически запускает программу в ссылке со специальными правами (Rigths зависит выбранного пользователя во время процесса создания ссылки - можно использовать администраторскую учетную запись или имя учетной записи домена и т.д.).

Ограничения: Во время процесса создания ссылки (только однажды) Вы должны сделать, чтобы администратор считал.
Admirun.exe должен быть представлен в Вашей папке Windows (модуль, включенный в Admilink).
Вся документация относительно русского языка :). Преподавайте русский язык или попросите у меня дополнительной справки

P.S. Это СВОБОДНО для некоммерческого использования.
P.P.S Это имеет много дополнительных функций

2
ответ дан 3 December 2019 в 03:13

Можно использовать Runas с утилитой под названием SANUR.exe, который позволяет паролю быть переданным по каналу в, вместо этого вводя его!

http://www.commandline.co.uk/sanur_unsupported/index2.html

0
ответ дан 3 December 2019 в 03:13

Теги

Похожие вопросы