따라서 더 높은 권한으로 소프트웨어를 실행 해야하는 클라이언트가 있지만 사용자는 제한된 계정으로 작업하며 몇 가지 이유로 비밀번호를 기꺼이 제공하지 않습니다.
관리자 암호를 묻지 않고 프로그램을 시작하는 방법을 찾고 있었고에 접속했습니다 runas.
이것이 내가 사용하는 명령입니다.
runas / user : 관리자 / savecred “Path \ To \ Software.exe”
암호를 처음으로 요청하지만 암호를 삽입 한 후에는 아무 것도 발생하지 않습니다. 명령을 몇 번이나 실행하더라도 프로그램이 시작되지 않습니다.
경로가 정확하고 관리자 계정이 정상이지만 여전히 결과가 없습니다.
또한 2 개의 서비스가 실행되고 있는지 확인했습니다 (이름을 기억하지 않지만 다른 권한으로 앱을 실행하는 것과 관련이 있음).
이 작업을 수행 할 수있는 솔루션이 있습니까?
답변
컴퓨터에서 UAC (사용자 계정 컨트롤)를 사용하도록 설정 한 경우 (응답이 “예”임) “runas”명령이 권한을 상승시키지 않습니다. 즉, 관리 권한이 아닌 앱을 실행합니다.
그러나이 Windows PowerShell 명령을 사용해보십시오.
Start-Process "Path\To\Software.exe" -Verb "runas"
당연히 명령 프롬프트 대신 Windows PowerShell에서이 명령을 입력해야합니다.
즉, 이것은 분명히 문제의 해결책이 아닙니다. Microsoft의 정책은 관리자 권한 사용을 장려하는 모든 수단을 제공하거나 완전히 거부하지 않는 것입니다. (이 정책은 2003 년 보안 위기 이후에 발효되었습니다.) Microsoft가 제공하는 가장 가까운 것은 응용 프로그램 호환성 도구 키트로, 응용 프로그램의 매니페스트를 무시하고 제한된 권한으로 실행할 수 있습니다. 이것은 매니페스트에서 요청한 것을 얻었는지 확인할 수 없을 정도로 바보 같은 앱의 트릭을 수행합니다.
물론, 때때로 원하는 보안 기능을 제공하는 타사 보안 솔루션을 알고 있습니다. 인기가 없어서 빨리 사라집니다.
답변
runas 프로파일이 완전히로드되지 않은 경우 (즉, runas UID가 이전에 시스템에 완전히 로그온하지 않은 경우) 제대로 작동하지 않는 것으로 나타났습니다 …
CBB 및 LTSB 1607.
답변
자격 증명을 저장하기 위해 프로그램을 사용하는 것은 어떻게 보더라도 나쁠 것입니다. 사용자가 저장된 자격 증명의 일부를 얻을 수있는 경우 프로그램에서 일부 토큰 화를 사용하지 않는 한 암호를 해독 할 수 있습니다 (힌트 : 암호에 액세스 할 수 있거나 프로그램이 작동하지 않음). . 토큰 화를 수행하는 경우에도 보안 필드에서 말하는 것처럼 “해시를 전달”하면 관리 사용자로 다른 명령을 실행할 수 있습니다 (토큰은 내가 알 수있는 한 암호화 / 암호 해독되지 않으므로 의도적으로 분리되었으며 사용자가 있었더라도 암호를 해독 할 수 있습니다.
그 사람에게 관리자 액세스 권한을 부여하고 싶지 않기 때문에 가장 좋은 방법은 프로그램이 사용하려는 파일과 폴더에 대한 특정 액세스 권한을 부여하는 것입니다. 권장 사항을 제시하기 전에 액세스중인 프로그램 또는 파일 / 폴더에 대한 자세한 내용이 필요합니다. Security폴더의 속성 상자에있는 탭을 사용하여 액세스 권한을 부여하면 관리자 권한없이 프로그램을 실행할 수 있습니다. 그렇지 않은 경우 프로그램이 제대로 작성되지 않았습니다. 또는 가상 컴퓨터를 사용하거나 사용자가 원격으로 연결할 수있는 다른 데스크톱을 사용하여 작업중인 시스템이 아니라 해당 컴퓨터에만 액세스 할 수 있습니다.
사용자가 Windows에서 어떤 파일 및 폴더를 사용하고 있는지 확인하려면 도구를 사용할 수 있습니다 Process Monitor. 이 도구는 모든 프로세스가 머신에서 수행하는 미친 정보를 나열합니다 (데이터를 필터링 할 수 있음). 파일, 폴더, 스레드, 네트워킹, 레지스트리 및 프로파일 링 이벤트는 모두 도구에 의해 모니터링됩니다. SysInternals 및 TechNet 에있는 Sysinternals Suite의 일부입니다 . 나는 그들과 관련이 없지만 몇 년 동안 도구를 사용해 왔습니다.
답변
내가 찾은 것은 관리자 계정에 암호가 설정되어 있지 않으면 해당 방식으로 시작되지 않으며 계정에 암호 가 있어야하며 입력해야한다는 것입니다. 비밀번호없이 비밀번호를 남겨두고 요청할 때 Enter 키를 누를 수는 없습니다.
그 동작을 볼 때 계정 제한에 대한 오류가 발생하지만 바로 가기에서 실행하면 사람이 읽을 수있을 정도로 오류가 표시되지 않지만 명령 프롬프트 또는 powershell에서 실행하면 오류가 계속 발생합니다. 창문.
물론 관리자 계정이 활성화되어 있고 (기본적으로 설정되어 있지 않음) 사용자 (또는 컴퓨터가 아닌 회사 컴퓨터 인 경우 IT 부서)가 관리자에게 GPO 기반 또는 기타 제한을 추가하지 않았는지 확인하십시오. 계정을 출시 할 수 있습니다. (계정에 문제가 없다고 말했기 때문에 귀하의 경우에는 그 원인이 의심되지만 다른 사람이 알아야 할 경우를 포함하여)