企業環境中,爲了安全起見一般都沒有賦予域用戶或者企業的PC客戶端用戶管理員權限。
但偶爾會有個別的程序一定需要管理員身份才能執行,如財務某些程序或專業的應用程序。那麼如何不賦予用戶管理員權限及密碼但又可以讓用戶有權限執行指定的程序呢?
下面就介紹幾種主流的辦法:
1,runas命令(微軟原生命令):
用法:
runas /user:user_name abc.exe
user_name是要使用哪個用戶運行該程序就寫上哪個用戶名,abc.exe是程序名,如果abc.exe不在system32目錄下的話,需要指明具體路徑。
在cmd中輸入runas,即可查看它的幫助說明及使用示例:
RUNAS [/profile] [/env] [/netonly] /user:<UserName> program
/profile 如果需要加載用戶的配置文件
/env 要使用當前環境,而不是用戶的環境。
/netonly 只在指定的憑據限於遠程訪問的情況下才使用
/user <UserName> 應使用 USER@DOMAIN 或 DOMAINUSER 形式
program EXE. 的命令行。參閱下面的例子
例如:
runas /profile /user:mymachineadministrator cmd
runas /profile /env /user:mydomainadmin "mmc %windir%system32dsa.msc"
runas /env /user:[email protected] "notepad "my file.txt""
注意: 只有在被提示時才輸入用戶的密碼。
注意: USER@DOMAIN 與 /netonly 不兼容。
但由於RUNAS每次都要自己輸入密碼,很麻煩我們可以添加參數(runas /savecred )來保存憑據。
例:
runas /user:administrator /savecred "D:\Program Files\AnyDesk.exe"
可以將以上命令保存爲批處理,這樣就可以用administrator用戶權限來啓動指定的那個程序了。(直接執行,不再需要用戶輸入密碼)
2、使用lsrunase,這是第三方程序,需要下載。自帶 LSencrypt 用來生成加密的字串。
用法:
lsrunase.exe /user:administrator /password:ABCDqfmI /domain: /command:"D:\Program Files\AnyDesk.exe" /runpath:"D:\Program Files"
所有的參數必須齊全,其中:
user 爲運行的賬號
password 爲密碼加密後的字串
domain 爲機器名或域名,也可留空代表本機
command 爲要運行的程序名,如果攜帶參數需要在命令的首尾加引號
runpath 爲程序啓動的路徑
特點:可以較完美的替代 runas,並避免直接將密碼明文保存在腳本中。
3、使用 cpau,cpau 也是一個替代 runas 的程序,並且功能強大,可以使用加密的密碼。
用法:
cpau -u administrator -p password -ex notepad -file start_notepad.txt -enc
cpau -file start_notepad.txt -dec
以上命令可以先將要執行的指令加密保存爲一個文件,執行時載入此文件。
特點:可以保護執行的腳本及命令不被他人查看,但在使用網絡路徑時存在一些問題。