Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Windows 2000/NT Другое Пошаговое руководство по использованию вторичного входа в Windows 2000 RSS

Пошаговое руководство по использованию вторичного входа в Windows 2000

Текущий рейтинг: 3.86 (проголосовало 7)
 Посетителей: 18131 | Просмотров: 21327 (сегодня 0)  Шрифт: - +
Club logo

Это техническое пошаговое руководство демонстрирует примеры использования функции вторичного входа в систему, службы «Запуск от имени» (Run as), в ОС Windows® 2000. Вторичный вход позволяет администраторам избегать входа в систему с административными привилегиями для решения повседневных задач. Вместо смены сеанса, администраторы могут войти в систему с правами обычного пользователя и затем запускать доверенные средства администрирования от имени учетной записи администратора без завершения текущей сессии. Пользователь, имеющий несколько учетных записей в системе, может запускать приложения от их имени, не завершая текущий сеанс работы.

На этой странице

Введение

До сих пор, одна из самых серьезных проблем безопасности заключалась в том, что администраторы работали на разных компьютерах, используя административные учетные записи, и выполняли привилегированные и непривилегированные операции во время одной и той же сессии. Это делалось в основном из-за того, что было намного удобней один раз войти в систему и выполнить все необходимые операции, чем постоянно входить и выходить, в зависимости от требуемых задач. Это делало компьютеры уязвимыми для атак «Троянских коней». Простой запуск браузера и посещение неблагонадежного сайта могли нанести ущерб системе, если это происходило в контексте административной учетной записи. Сайт может содержать код «Троянского коня», который будет загружен на компьютер. Если запуск произойдет в сеансе администратора, то вирус потенциально способен отформатировать диск, уничтожить все файлы, создать нового пользователя с правами администратора и так далее.

Использование вторичного входа в систему в ОС Windows® 2000 позволяет решить эту проблему, предоставляя возможность запуска программ с правами отличными от тех, с которыми был произведен вход в систему. Эта возможность предоставляется службой «Запуск от имени» (Run as).

Вторичный вход в систему позволяет администраторам войти в систему с правами обычной учетной записи и одновременно сохранить возможность выполнения задач администрирования, запуская доверенные административные приложения с необходимыми правами. Для использования Вторичного входа в систему администраторам необходимо иметь две учётных записи: обычную – с основными правами пользователя и безопасности, и административную, которая может быть индивидуальной для каждого из администраторов, или использоваться несколькими администраторами совместно.

Эта функция в первую очередь позволяет системным администраторам отделить операции администрирования от операций пользовательского уровня. Кроме этого, каждый пользователь с несколькими учетными записями может запускать приложения с другими правами, без необходимости завершения текущего сеанса.

Это техническое руководство познакомит Вас со службой «Запуск от имени…» и связанными с ней инструментами.

Необходимые условия и требования

Предварительные условия отсутствуют: Вам не нужно выполнять какие-либо другие шаги, перед началом использования данного руководства. Вам понадобится один компьютер под управлением Windows 2000 Professional или Windows 2000 Server. Чтобы получить текущую информацию об аппаратных требованиях и совместимости с серверами, клиентскими компьютерами, и периферийным оборудованием, посетите страницу Проверки совместимости оборудования и программного обеспечения (Check Hardware and Software Compatibility) на сайте Windows 2000 http://www.microsoft.com/windows2000/server/howtobuy/upgrading/compat/default.asp (EN).

Наверх страницы

Использование функций Вторичного входа в систему

Активация службы «Запуск от имени…»

Служба «Запуск от имени…» запускается автоматически после чистой установки ОС Windows 2000. Однако, если эта служба не работает в данный момент, выполните следующие действия для запуска службы.

  1. Войдите в систему с правами администратора.
  2. Правой клавишей мыши щелкните по значку Мой компьютер (My Computer) и нажмите Управление (Manage).
  3. Щелкните Службы и Приложения (Services and Applications), и затем дважды щелкните Службы (Services) в окне, изображенном на Рисунке 1 ниже.

Рисунок 1: Выбор служб

Увеличить изображение.

  1. Дважды щелкните Запуск от имени… (RunAs Service). Откроется диалоговое окно Запуск от имени - Свойства (RunAs Service Properties).
  2. В раскрывающемся списке Тип запуска (Startup type) выберите Авто (Automatic), таким образом, Вам не надо будет перезапускать службу, каждый раз после перезагрузки.
  3. Нажмите кнопку Пуск (Start) для немедленного запуска службы. Нажмите OK для закрытия диалогового окна.

Использование Вторичного входа в систему под учётной записью обычного пользователя

Перед выполнением этих шагов, создайте учетную запись с правами пользователя и назовите ее IvanUser, при помощи оснастки Локальные пользователи и Группы (Local Users and Groups) (на рабочих станциях и автономных серверах) или оснастки Active Directory – Пользователи и Группы (Active Directory Users and Groups) (на контроллере домена). Выполняя шаги, описанные в этом руководстве, Вы можете использовать встроенную учетную запись Администратора в качестве административной учетной записи. Если Вы выполнили руководство «Установка Windows 2000 Server в качестве контроллера домена» ("Installing a Windows 2000 Server as a Domain Controller"), Вы можете использовать одного из созданных ранее пользователей вместо создания нового.

Если Вы не знаете, как создать учетную запись пользователя, см. Страницу справки по Windows 2000 в Интернете http://windows.microsoft.com/windows2000/en/server/help/ (EN) или руководство, упомянутое выше. После того как Вы создадите учетную запись, завершите сеанс администратора и войдите в систему под учетной записью пользователя.

Использование Вторичного входа в систему для запуска Мастера установки оборудования (Add/Remove Hardware):

  1. В меню Пуск (Start) выберите Настройка (Settings), и затем выберите Панель Управления (Control Panel).
  2. Попытайтесь запустить Мастер установки оборудования (Add/Remove Hardware) двойным щелчком по значку. Так как Вы работаете с правами обычного пользователя, появится сообщение об ошибке, поясняющее, что у Вас нет необходимых прав для запуска этого инструмента. Нажмите OK для закрытия этого диалогового окна.
  3. Выделите значок Мастер установки оборудования, щелкнув по нему левой кнопкой мыши.
  4. Правой кнопкой мыши щелкните по значку Мастер установки оборудования, одновременно удерживая клавишу Shift. Обратите внимание на появившийся в контекстном меню пункт. Запустить от имени… (Run as).
  5. Выберите к контекстном меню Запустить от имени…. Появится диалоговое окно Запуск от имени другого пользователя (Run As Other User), изображенное на Рисунке 2.

Рисунок 2: Запуск от имени другого пользователя
Увеличить изображение.

  1. Введите имя и пароль администратора в соответствующие поля. Обратите внимание, что имя домена также может быть изменено. Нажмите OK.
  2. Будет запущен Мастер установки оборудования. Нажмите Отмена (Cancel) для закрытия мастера.

Использование файлов .msc для запуска Консоли Управления Microsoft (Microsoft Management Console (MMC)):

Примечание: В данном примере используется конкретный файл MSC, diskmgmt.msc, однако этим способом может быть запущен любой файл .msc в различных контекстах безопасности.

  1. При помощи Проводника, скопируйте файл diskmgmt.msc на Рабочий стол. Diskmgmt.msc находится в подпапке WINDIR\SYSTEM32. По умолчанию, это папка \WINNT\SYSTEM32, расположена на загрузочном разделе.
  2. Левой кнопкой мыши выделите файл на Рабочем столе.
  3. Правой кнопкой мыши щелкните по значку diskmgmt, одновременно удерживая клавишу Shift.
  4. Нажмите Запустить от имени…. В контекстном меню. Появится диалоговое окно Запуск от имени другого пользователя.
  5. Введите имя и пароль администратора в соответствующие поля. Нажмите OK. Откроется новая консоль MMC с загруженной оснасткой Управление дисками (Disk Management).

Теперь эта оснастка запущена от имени администратора. В большинстве случаев системные администраторы стремятся настроить консоль MMC, добавляя в нее часто используемые административные оснастки, и затем запуская их при помощи Вторичного входа в систему. Для дополнительной информации о консолях MMC, обратитесь к Пошаговому Руководству по Консоли управления Microsoft, расположенному по адресу: http://www.microsoft.com/technet/prodtechnol/windows2000serv/howto/mmcsteps.mspx (EN).

Запуск приложений от имени администратора:

Примечание: В этом примере в качестве приложения используется программа «Блокнот», однако, при помощи этого метода, Вы можете запустить любое приложение Windows в различных контекстах безопасности.

  1. С помощью Проводника скопируйте файл Notepad.exe на Рабочий стол. Notepad.exe находится в папке \WINDIR\. По умолчанию, это папка \WINNT\, расположена на загрузочном разделе.
  2. Выберите файл Notepad.exe на Рабочем столе щелчком мыши.
  3. Правой кнопкой щелкните по файлу Notepad.exe, одновременно удерживая клавишу Shift.
  4. Выберите команду Запуск от имени…. Появится диалоговое окно Запуск от имени другого пользователя.
  5. Введите имя и пароль администратора в соответствующие поля. Нажмите OK. Будет запущен Блокнот.

Примечание: В Windows отсутствует индикация того, с какими правами было запущено приложение. Это происходит из-за того, что приложения Windows самостоятельно назначают заголовок окна, который не может быть изменен вызывающей процедурой. Это может повлечь некоторую путаницу, если Вы запускаете несколько процессов в различных контекстах безопасности.

Запуск ярлыка от имени администратора:

Примечание: Этот метод будет работать с ярлыками для файлов .exe и других зарегистрированных типов файлов, таких как .txt, .doc, и .msc.

  1. Создайте ярлык для программы (Управление дисками) Diskmgmt с которой мы работали в одном из предыдущих примеров: щелкните правой кнопкой мыши по файлу Diskmgmt, и выберите Создать ярлык (Create Shortcut).
  2. Однократным щелчком мыши выделите Ярлык для diskmgmt (Shortcut to diskmgmt) на Рабочем столе.
  3. Правой кнопкой щелкните по Ярлыку для diskmgmt, одновременно удерживая клавишу Shift.
  4. Выберите команду Запуск от имени…. Появится диалоговое окно Запуск от имени другого пользователя.
  5. Введите имя и пароль администратора в соответствующие поля. Нажмите OK. Будет запущена Консоль Управления с загруженной оснасткой «Управление дисками».

Вы также можете настроить ярлык таким образом, что запуск будет всегда происходить от имени необходимой учетной записи.

Для настройки этой опции:

  1. Закройте все открытые консоли управления.
  2. Выделите Ярлык для diskmgmt.
  3. Щелкните по ярлыку правой кнопкой мыши, и выберите Свойства (Properties).
  4. На вкладке Ярлык (Shortcut), выберите Запускать от имени другого пользователя (Run as different user) и поставьте флажок, показанный на Рисунке 3.

Рисунок 3: Свойства ярлыка
Увеличить изображение.

  1. Нажмите OK чтобы закрыть диалоговое окно Свойства (Properties).
  2. Дважды щелкните по Ярлыку для diskmgmt, чтобы открыть консоль.
  3. Появится диалоговое окно Запуск от имени другого пользователя. Заполните необходимые поля, и нажмите кнопку OK.

Примечание: Этот способ можно использовать для любых ярлыков, которые Вы создаете, если необходимо постоянно запускать их в другом контексте безопасности.

Запуск командной сроки на локальном компьютере от имени администратора:

  1. Нажмите кнопку Пуск, выберите пункт Выполнить.
  2. Введите:

runas /user:ИмяКомпьютера\Администратор cmd

  1. где «ИмяКомпьютера» это имя Вашего компьютера.
  2. Нажмите OK.
  3. В появившемся окне командной строки введите ваш пароль для учетной записи ИмяКомпьютера\Администратор, и нажмите ВВОД.
  4. Будет запущено новое окно командной строки, работающее от имени администратора. Заголовок окна командной строки изменится на запущено от имени ИмяКомпьютера\Администратор (running as machine name\administrator). Теперь Вы можете запускать любые программы администрирования с интерфейсом командной строки из этого окна.

Вторичный вход в систему с использованием других прав безопасности

В предыдущих примерах рассматривалось использование вторичного входа в систему для запуска средств администрирования от имени администратора. Данная функция не препятствует запуску приложений и инструментов с другими правами безопасности, некоторые из которых могут иметь ограничения. Этой функции достаточно для запуска любых приложений или инструментов от имени любой учетной записи в тех случаях когда:

  • Вы можете предоставлять соответствующим учетным записям дополнительные права.
  • Дополнительные права включают в себя возможность локального входа в систему.
  • Приложения или инструменты доступны в системе при работе от имени другой учетной записи.

Проблемы и решения

Если Вы попытались выполнить примеры рассмотренные ранее и не получили ожидаемого результата, одно из следующих решений может помочь Вам решить проблему.

  • Служба «Запуск от имени…» остановлена. Обратитесь к разделу "Активация службы «Запуск от имени…»", для запуска службы.
  • Предоставленные учетные данные могут быть некорректными. Проверьте учетные данные, завершив сеанс и войдя в систему от имени данного пользователя, используя окно входа в систему. Если вход в систему не удастся из-за неверного пароля или потому что у этой учетной записи нет прав доступа к данному компьютеру, тогда вторичный вход в систему будет иметь такие же ограничения.
  • Не запускается файл .exe. Возможно, Вы пытаетесь запустить файл из сетевого окружения, однако учетные данные, используемые для доступа к сети, могут отличаться от тех, что требуются для запуска данной программы. Учетные данные, используемые для запуска программы, могут не иметь доступа к сети. Вначале запустите командную строку Windows 2000 при помощи Запуск от имени... (Run as), затем используйте команду Net Use для восстановления сетевого подключения, и затем запустите программу.
  • Некоторые приложения неявно запускаются оболочкой. В том числе такие инструменты как Панель Управления, Принтеры и факсы, и так далее. Так как оболочка запускается в контексте пользователя, выполнившего вход в систему, все процессы, запускаемые из оболочки, наследуют этот контекст. Для запуска приложений используйте меню Запуск от имени…, как было показано ранее, или отключите текущую оболочку и перезапустите ее с правами администратора, как описывается далее.

Запуск Проводника от имени администратора:

  1. Запустите Диспетчер Задач (Task Manager). Правой кнопкой мыши щелкните по панели задач, и затем выберите Диспетчер Задач (Task Manager).
  2. Щелкните по вкладке Процессы (Processes).
  3. Выберите процесс explorer.exe, и затем нажмите кнопку Завершить Процесс (End Process).
  4. В появившемся окне Предупреждения Диспетчера задач нажмите Да (Yes). Рабочий стол полностью исчезнет; однако, все приложения, которые Вы запустили, продолжат свою работу (в том числе и Диспетчер Задач).
  5. Щелкните по вкладке Приложения (Applications).
  6. Нажмите кнопку Новая задача (New Task).
  7. Введите:

runas /user: ИмяКомпьютера/ИмяДомена\Администратор explorer.exe

  1. Нажмите OK.
  2. Сверните Диспетчер задач, введите пароль в окне командной строки, и нажмите ВВОД.
  3. После этого вновь появится Рабочий стол, в том числе панель задач, ярлыки, папка автозагрузки, и так далее. Выполните любую задачу администрирования. Например, в меню Пуск, выберите (Настройка) Settings, и затем нажмите (Панель управления) Control Panel. Панель управления запустится от имени администратора.
  4. После того как Вы завершите работу, выйдите из сеанса администратора. Автоматически запустится новая оболочка, от имени обычного пользователя IvanUser.

Важные замечания

Наименования компаний, организаций, продуктов, людей, и событий используемые в качестве примеров в данном руководстве являются вымышленными. Все совпадения с реальными компаниями, организациями, продуктами, людьми или событиями являются непреднамеренными и случайными.

Описана базовая инфраструктура, разработанная для использования в частных сетях. Вымышленные наименование компании и DNS имя, используемые в базовой инфраструктуре, не зарегистрированы для использования в Интернете. Пожалуйста, не используйте это название в публичных сетях или в сети Интернет.

Служба каталогов Microsoft Active Directory™, как способ организации данной базовой инфраструктуры, приведена только для демонстрации работы функций Microsoft Windows 2000 при взаимодействии с Active Directory. Данный пример не является моделью настройки Active Directory для какой-либо организации — для дополнительной информации смотрите документацию по Active Directory.

Наверх страницы

Связанные ресурсы

Установка Windows 2000 Server в качестве контроллера домена ( Installing a Windows 2000 Server as a Domain Controller) http://www.microsoft.com/windows2000/techinfo/planning/server/serversteps.asp (EN)

Страница справки по Windows 2000 Server (Windows 2000 Server Online Help) http://windows.microsoft.com/windows2000/en/server/help/ (EN)

Руководство по планированию и развертыванию Windows 2000 ( Windows 2000 Planning and Deployment Guide) http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/w2rkbook/dpg.asp (EN)

Обзор служб управления (Exploring Management Services) http://www.microsoft.com/windows2000/technologies/management/default.asp (EN)

Страница справки по Windows 2000 Pro ( Windows 2000 Pro Help) http://windows.microsoft.com/windows2000/en/professional/help/ (EN).

Наверх страницы




Обсуждение статьи на форуме
Автор: Васьков Артём aka Fanzuga  •  Иcточник: (переведено с англ.) Microsoft Technet  •  Опубликована: 24.06.2006
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.