images/makronet_72.jpg

Start program med eleverede rettigheder

Mange administratorer har det med at være logget på med en administrator konto, fra morgen til aften, da det er nemmere end at logge af og på hver gang man skal foretage handlinger, der kræver administrator-rettigheder. Det optimale vil være kun at være logget på med administrator-rettigheder, når dette er nødvendigt, og derefter straks logge af.


Istedet for at være logget på med administrator-rettigheder, bør man være logget på med en almindelig brugerkonto, og foretage så mange administrative handlinger som muligt via MMC, der jo kan bruges over netværk. Dette kræver at MMCen åbnes/startes med administrative rettigheder, hvilket kan gøres på to måder. Enten ved Shift + højreklik på MMCen -> Run As (shift er kun nogle gange påkrævet). Den anden måde virker imidlertid bedre/altid i praksis, men kræver lidt opsætning, en gang for alle:

  1. Lav MMCen der skal indeholde de ønskede snapins.
  2. Lav en genvej til MMCen. Når denne er lavet, skal den editeres, således:
    • Target:
      runas /user:<ComputerNavn eller domænenavn>\<bruger> <prg der skal køres>
    • Start in:
      %windir%

    Eksempler: ´
    • Egen MMC:
      %windir%\System32\runas.exe /user:makronet.dk\administrator "mmc d:\smarteMMCere\mmc1.msc"
    • AD Users & Computers:
      %windir%\System32\runas.exe /user:makronet.dk\administrator "mmc %windir%\system32\dsa.msc"
    • AD Users & Computers (DSA.msc) i anden forrest:
      %windir%\System32\runas.exe /netonly /user:makronet.dk\superAdminBruger "mmc %windir%\system32\dsa.msc"
    • CMDen skal være i "admin farver" så den er til at kende fra den almindelige CMD:
      %windir%\system32\runas.exe /u:dom\bruger "%windir%\System32\cmd.exe /k cd c:\ && color 5e && title ** Admin rettigheder **
    • Sådan kan man fortsætte, også med ikke-MS applikationer, f.eks. sådan her med Total Commander:
      C:\Windows\System32\runas.exe /user:domææne\bruger "C:\Program Files\totalcmd\TOTALCMD.EXE"
  3. Så' genvejen klar til brug. Eksekver det pågældende program, med admin rettigheder, ved at dobbeltklikke på den nye genvej. Windows vil starte en kommandoprompt og deri bede om passwordet på den bruger, du har angivet i genvejen.
    Aldrig mere højreklikke og vælge Run As...



Tilføjelse januar 2007: Det er i øvrigt samme måde man anvender RunAs i Windows Vista. Jeg bruger således flittigt ovenstående metoder i Vista.

Tilføjelse oktober 2007: Hvis du oplever at ovenstående ikke virker i Windows Vista, så prøv at køre kommandoen i en CMD, herved kan du aflæse fejlbeskeden. Hvis du f.eks. kører kommandoen:

%windir%\System32\runas.exe /user:makronet.dk\administrator "mmc %windir%\system32\dsa.msc"

...og får følgende fejlbesked:
740: The requested operation requires elevation.
...så skyldes det at du skal ændre en UAC indstilling. Den pågældende indstilling findes i GPO, under:
Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options
Indstillingen "User Account Control: Admin Approval Mode for the Built-in Administrator accout" skal sættes til Disabled, så virker min runas metode. Husk at refreshe GPO efter ændringen, f.eks. ved restart eller kommandoen GPUpdate.

Tilføjelse juli 2010:
Hvis der indgår mellemrum i MMCens navn, skal man gøre således:

C:\Windows\System32\runas.exe /user:domæne\bruger "mmc """r:\MMCere\Min MMC med mellemrum i filnavnet.msc""""