Використання команди RunAs (win2003) - Blog of Khlebalin Dmitriy
(Дорогу здолає той, хто йде…)
Використання команди RunAs (win2003)
Увага Для роботи команди RunAs необхідно, щоб було запущено службу Secondary Logon. Тому, у разі виникнення проблем із роботою даної команди необхідно насамперед переконатися, що вказана служба дійсно запущена. Щоб переконатися в цьому, можна використовувати оснастку Services.
Команда RunAs може бути використана для встановлення та перевірки користувацьких дозволів на доступ до файлів або об'єктів Active Directory. Для задання користувачеві дозволів необхідно запустити відповідну утиліту з адміністративними привілеями. Одночасно можна запустити необхідну програму в контексті повноважень користувача і перевірити результуючі дозволи. Таким чином, завдання може бути вирішено (і, що головне, перевірено) без необхідності повторної реєстрації в системі під різними обліковими записами. Команда RunAs може використовуватись у двох режимах.
- Запуск утиліт із контекстного меню. Запуск утиліти або оснастки з необхідними повноваженнями відбувається за допомогою контекстного меню. Адміністратор вибирає відповідний пункт меню та надає інформацію про свої повноваження. Цей режим ідеально підходить для запуску графічних утиліт.
- Запуск утиліт із командного рядка. У командному рядку адміністратор вводить команду з усіма необхідними параметрами. Цей режим можна використовувати для запуску утиліт командного рядка. Іншою перевагою цього режиму є можливість відображення відомостей про результати процесу запуску (у тому числі інформація про помилки, що виникають).
Розглянемо особливості використання кожного з режимів більшдетально.
Запуск утиліт з контекстного меню
Адміністратор може запускати утиліти та оснащення будь-яким способом – з головного меню, з робочого столу, із програми Windows Explorer. При цьому механізм адміністративних утиліт не вимагає, щоб утиліта запускалася на контролері домену. Більше того, щоб не знижувати продуктивність контролера домену, рекомендується використовувати для керування системою спеціально виділену робочу станцію. Щоб мати на цій робочій станції можливість здійснювати керування мережею, адміністратор повинен попередньо встановити на неї необхідні адміністративні утиліти (як із набору Windows Server 2003 Administrative Pack, так і з допоміжних пакетів Windows Server 2003 Support Tools та Resource Kit). У разі, якщо йдеться про встановлення певних утиліт для користувачів, яким делеговані повноваження на виконання певних операцій, немає необхідності встановлювати весь пакет утиліт. Можна встановити на робочу станцію лише одну або кілька утиліт з Windows Server 2003 Administrative Tools. Для цього слід скопіювати необхідні оснастки (файли з розширенням msc) та пов'язані з ними DLL-бібліотеки з папки %SystemRoot%\system32 контролера домену в будь-яку папку на робочій станції. Перейшовши до вказаної папки на робочій станції, потрібно зареєструвати скопійовані DLL-бібліотеки. Для цього в режимі командного рядка необхідно виконати: regsvr32 У табл. 10.1 наведено імена DLL-бібліотек для деяких, найважливіших адміністративних утиліт.
Таблиця 10.1. DDL-бібліотеки, необхідні для роботи деяких адміністративних утиліт
| Оснащення | Ім'я файлу оснащення | Ім'я DLL-бібліотеки |
| Active Directory Domain andTrusts | domain, msc | domadmin.dll |
| Active Directory Users and Computers | dsa.msc | dsadmin.dll |
| Active Directory Sites and Services | dssite.msc | dsadmin.dll |
| Active Directory Schema | - | schmmgmt.dll |
Примітка Обладнання Active Directory Schema не інсталюється автоматично. Після того, як файл schmmgmt.dll скопійований на робочу станцію і зареєстрований, користувач повинен додати оснастку в керуючу консоль (ММС) і зберегти під деяким ім'ям.
Мал. 10.4. Запуск програми з повноваженнями іншого користувача
Якщо утиліта повинна завжди запускатися в рамках повноважень іншого користувача, необхідно відповідним чином налаштувати ярлик утиліти. Викликавши вікно властивостей ярлика утиліти, на вкладці Shortcut (Ярлик) потрібно натиснути кнопку Advanced (Додатково). У вікні встановіть прапорець Run with different credentials (Запускати з іншими повноваженнями).
Запуск утиліт з командного рядка
За допомогою команди RunAs можна запускати з командного рядка будь-які файли, що виконуються (мають розширення exe, com, cmd, bat, msc), ярлики (lnk), а також елементи панелі управління (cpl).
Увага Існують програми та елементи, з якими команда RunAs не може бути використана. Наприклад, Windows Explorer, папка Printers та елементи робочого столу.
Для запуску з командного рядка утиліт з Windows Server 2003 Administrative Tools необхідно знати імена оснасток. У табл. 10.2 наводяться імена оснасток для найчастіше використовуваних утиліт з цього пакета.
Таблиця 10.2. Імена оснасток для деяких утилітпакета Windows Server 2003 Administrative Tools
| Утиліта | Ім'я оснащення |
| Active Directory Domains and Trusts | domain. msc |
| Active Directory Schema | має бути створена адміністратором вручну |
| Active Directory Sites and Services | dssite.msc |
| Active Directory Users and Computers | dsa.msc |
| Computer Management | compmgmt.msc |
| Distributed File System | dfsgui.msc |
| DNS | dnsmgmt.msc |
| Domain Controller Security Settings | dcpol.msc |
| Domain Security Settings | dompol.msc |
| Group Policy | gpedit.msc |
| Local Security Settings | secpol.msc |
| Routing and Remote Access | rrasmgmt.msc |
| Services | services, msc |
| Device Manager* | devmgmt.msc |
| Disk Management* | diskmgmt.msc |
| Local Users and Groups* | lusrmgr.msc |
| Shared Folders* | fsmgmt.msc |
*Оснастки, які не відображаються в меню Administrative Tools. Однак їх можна знайти в папці %SystemRoot%\system32 Команда RunAs має такий формат:
runas [ [/noprofile /profile] [/env] [/savecred /netonly]] /user: додаток Ключові слова мають такий зміст: