Есть ли эквивалент SU для Windows
Я экспериментировал с etckeeper, который, кажется, работает вполне прилично. Я не требую централизованного сервера, который может быть важным в некоторых ситуациях. Можно использовать несколько различных бэкендов DVCS, таким образом, можно выбрать тот, Вы являетесь самыми знакомыми с. Это, кажется, работает очень хорошо на меня, но я не попытался получить другой techs, где я работаю, чтобы начать использовать его все же.
Я вполне уверен нет никакого поддерживаемого способа работать как другой пользователь, не имея что учетные данные пользователя. Это - мера неотказуемости. Кто-то не может сказать: "Я не сделал этого", потому что или они сделали это, или кто-то с их учетными данными сделал это. И для второго они должны были бы дать другому человеку учетные данные.
Обычно, как я делаю то, что я должен сделать, в то время как зарегистрированный, поскольку другой пользователь должен использовать Удаленный помощник для по существу RDP в сессию, и сделать, чтобы они предоставили мне управление. Затем я делаю что, в то время как они смотрят (по-видимому, так или иначе).
Что-либо еще может обычно делаться с GPO/сценариями.
-
1Я полагаю, что это корректно. И, по моему скромному мнению, это - безопасность улучшение по миру UNIX. Мне нравится идея, что даже администратор не может быть я без моего пароля. – tomjedrz 1 June 2009 в 19:30
-
2Администратор может принять другого пользователя путем изменения их пароля. Затем они могут войти в систему как Вы. Однако существует след доказательства, если Вы делаете это. Во-первых, пользовательский пароль был изменен так they' ll знают. Во-вторых, будут контрольные журналы (предполагающий, что аудит включен). – Erik Funkenbusch 1 June 2009 в 19:53
-
3Это обычно, как я действую также. Однако there' s указывает, что я говорю " было бы настолько легче сделать это для Bob, если бы я был Bob" но Bob пошел домой час назад. – BIBD 1 June 2009 в 19:55
-
4До " non-repudiation" идет, заставляя меня изменить их пароль первый doesn' t мешают мне совершить злонамеренные/глупые действия как другого пользователя. Это просто означает I' d должны сделать больше работы для покрывания, кто был ответственен. – BIBD 1 June 2009 в 19:57
-
5Я понимаю то, что они пытаются сделать. Я просто думаю it' s больше театра безопасности, чем фактическая безопасность. – BIBD 1 June 2009 в 22:36
Можно использовать следующую команду на Windows XP и позже:
RunAs.exe
Параметры командной строки доступны здесь.
Это не будет работать, не зная пользовательского пароля. Я не полагаю, что существует путь в Windows для работы в соответствии с пользовательской учетной записью без пароля из-за того, как Идентификаторы безопасности загружаются.
-
1Я полагаю, что программа RunAs все еще требует, чтобы Вы знали users' пароль, который я верю исходным состояниям вопроса, не известен – Kevin Kuphal 1 June 2009 в 18:12
-
2
Нет никакого встроенного механизма в Windows, чтобы сделать это. Это может быть сделано, но Вы оказываетесь перед необходимостью иметь что-то записанное, чтобы сделать то, что Вы хотите, и Вы, вероятно, оказываетесь перед необходимостью слоняться без дела с недокументированными API.
Один из плакатов здесь, силы тяжести, имеет его правильный w/вызов CreateProcessAsUser (), но необходимо будет создать маркер с недокументированным встроенным API zwCreateToken сначала. Если бы Вы уничтожили Проводник и разожгли новый экземпляр w/CreateProcessAsUser Проводника (), я вполне уверен, что Вы добрались бы, хотят Вас, хотят.
Microsoft не делает то, что Вы хотите сделать легкий, потому что это не способ, которым они хотят Вас использующий NT. Если Вы должны быть зарегистрированы как пользователь для поиска и устранения неисправностей их проблем, в большинстве случаев Вы идете об этом субоптимальным способом.
Можно внести изменения в реестр пользователя w/o входящий в систему как они (путем присоединения их структуры данных реестра и управления им тот путь). Можно внести изменения в файлы в их профиле пользователя w/o зарегистрированный как пользователь. Если необходимо "установить электронную почту" или другие такие операции "как пользователь", необходимо писать сценарии или использовать в своих интересах встроенную функциональность (Групповая политика Административные Шаблоны, предпочтения, и т.д.), чтобы сделать грязную работу для Вас.
Если необходимо сделать это, взглянуть на RunAsEx на Проекте Кода. Тот код должен дать Вам довольно хорошую идею того, что необходимо будет сделать. Я не попробовал программу, но похоже, что это идет обо всем правильным способом.
Хотя у меня нет личного опыта с некоторыми sudo решениями упомянутым на этом сайте, я настоятельно рекомендую неадминистратору, запущенному превосходным Aaron Margosis. Это - огромная справка, поскольку Вы развертываете ограниченных пользователей. Я главным образом перешел с чем-то, так как, как все остальные говорят, используют Runas. Однако я думаю больше всего или все эти так называемые sudo для соглашения об окнах больше с повышением вместо того, чтобы действовать как другой пользователь без их пароля.
(Просто предположение.), Если Ваша учетная запись имеет SeCreateTokenPrivilege, Вы могли записать небольшую программу для создания использования процесса CreateProcessAsUser() или подобная функция... (Но даже у администраторов нет полномочия по умолчанию.)
procexp.exe Проводника процесса на http://live.sysinternals.com имеет выполнение как ограниченного пользователя (в меню файла), который позволит Вам запустить программу с помощью текущих учетных данных, но с ACL, разделенным вниз программе обычного пользователя (неадминистратор) пользователем. Не, что Вы хотели точно, но хороший для тестирования.
Я заметил, что многие другие люди упоминают варианты команды runas и то, как вам нужно знать пароль пользователя, который является истинным, но я не думаю, что кто-то спокойно ответил на вопрос. о «желании, чтобы весь рабочий стол стал бы пользователем и т.д., а не только в окне cmd». Вот как я это делаю:
Примечание : Я буду называть эту первую командную строку CP1, чтобы позже устранить путаницу.
Под своей учетной записью администратора откройте командную строку
Для локальная учетная запись
runas /profile /user:computernamehere\username cmd
Для домена учетная запись
runas /profile /user:domainname\username cmd
ИЛИ , как я предпочитаю
runas /profile /user:username@domainname cmd
Примечание: Откроется новая командная строка (CP2), это пользователь, под которым вы пытаетесь войти.
Откройте CP1 и введите:
taskkill /f /IM explorer.exe
Откройте CP2 и введите:
explorer.exe
В зависимости от компьютера, он может создать профиль для пользователя, если он никогда не заходил на него раньше. Вы можете сохранить себе хассель позже, оставив окна командной строки открытыми для дальнейшего использования.
Когда вы закончите свою работу, просто сделайте то же самое в обратном порядке.
В типе CP2 :
taskkill /f /IM explorer.exe
Откройте CP1 и введите:
explorer.exe
Теперь вы должны вернуться в исходную учетную запись администратора. Вы можете выполнить быструю проверку, нажав клавишу Windows и выполнив поиск панели текущего пользователя.
Надеюсь, это помогло.
explorer.exe
Теперь вы должны вернуться в исходную учетную запись администратора. Вы можете выполнить быструю проверку, нажав клавишу Windows и выполнив поиск панели текущего пользователя.
Надеюсь, это помогло.
explorer.exe
Теперь вы должны вернуться в исходную учетную запись администратора. Вы можете выполнить быструю проверку, нажав клавишу Windows и выполнив поиск панели текущего пользователя.
Надеюсь, это помогло.