Підвищення: придбання маркера адміністратора в адміністратора проти стандартних облікових записів у Windows

Нещодавно мене бентежить те, як працює UAC між стандартними обліковими записами та обліковими записами адміністратора,

Як ми всі знаємо, коли UAC увімкнено, UAC дозволяє стандартним обліковим записам або обліковим записам адміністратора в режимі затвердження адміністратора отримати доступ до маркера адміністратора для виконання завдань, які потребують адміністративного доступу до машини - дозволяючи нам перемикати жетони без переключення користувачів ,

Однак, виявляється, що переключення жетонів насправді не відбувається: деякий час тому я запустив додаток, який би модифікував оболонку (explorer.exe). Я запускав програму в стандартному акаунті, але їй потрібен підвищений доступ: тому я використовував UAC для надання облікових даних адміністратора, щоб вона могла завершитися. Я не бачив жодної зміни в оболонці; Потім я увійшов до облікового запису адміністратора, чиї облікові дані я використав, і побачив, що оболонка в цьому обліковому записі була змінена, що, очевидно, не те, що я хотів

Мені здалося, що UAC - це просто угода типу "Запустити як користувача", де він фактично запускав програму як цей користувач. Це означало, що я не просто запускав його піднятим: я буквально запускав програму як той користувач,

Моє запитання: чи можливо для стандартного облікового запису використовувати маркер адміністратора, але насправді запустити програму як звичайного користувача та використовувати профіль поточного користувача? В іншому випадку мені здається, що якщо вам потрібно виконати будь-які завдання адміністратора, вам, як правило, потрібно ввійти в обліковий запис адміністратора, що перемагає цілі UAC, оскільки UAC запускає програму як адміністратор, а не використовує лише права адміністратора,

Чи можливе таке розділення маркера та профілю? Або всі користувачі просто повинні бути адміністраторами в такому випадку? Мені здається, що багато організацій мають би просто надавати повний доступ адміністратору для всіх користувачів,

Чи може хтось, будь ласка, пролити трохи світла на це?

Я хотів би знати, чи можна було б надати маркер адміністратора до зазначеної програми, але запустити цю програму в поточному обліковому записі користувача, а не в обліковому записі користувача адміністратора, чиї облікові дані надавалися - іншими словами, чи було б це Чи вдалося змінити оболонку в обліковому записі Standard за допомогою цієї програми? Метою було б запуск процесу як зареєстрований користувач (незалежно від поточних привілеїв) з ​​адміністративними правами, а не як процес під обліковим записом з правами адміністратора.

Сподіваюся, це має сенс,

ПОЯСНЕННЯ : Я не маю на увазі Режим затвердження адміністратора або про те, як працює UAC. Я вже знаю, що якщо для UAC встановлено захищене налаштування, навіть адміністраторам буде запропоновано запитувати, і якщо його не вимкнено, адміністратори використовують стандартний маркер за замовчуванням. Я говорю про те, коли маркер адміністратора буде досягнуто, чи можна ще запустити процес , як зареєстрований користувач, тільки з маркером адміністратору? (не використовуючи Run as 'user', але, можливо, щось на кшталт run as / with 'token') тощо. Таким чином, це використовувало б загальні адміністративні привілеї, а не адміністративні привілеї одного користувача.

Це взагалі можливо, чи я лише вказав на функцію не у вікні?

Чи потрібно мені, щоб досягти описаної тут мети, можливо, коли-небудь перетворювати стандартний обліковий запис на обліковий запис адміністратора, все, що вимагає підвищення, а потім повернути його в стандартний рахунок, коли це буде зроблено? На підставі коментарів виявляється, що це неможливо, і це здається вадою в ОС, оскільки це робить UAC в основному марними.

СЛУЧАЙ В ТОЧКІ : Кілька років тому я намагався запустити програму, яка змінила б тему мого комп’ютера, яка потребувала виправлення системи (одна з цих сторонніх програм). Це вимагало прав адміністратора. Я не бачив жодних змін, але потім я увійшов до облікового запису адміністратора, чий пароль я використав, і виявив, що вся діяльність була застосована до цього облікового запису !! Мені довелося кілька разів возитися з цим, щоб змусити його працювати, але це був справді вибагливий процес. Чи найпростішим рішенням буде просто просувати цей стандартний обліковий запис тимчасово адміністратору, а потім знизити його після цього?

Ви не можете мати програму, що працює під обліковим записом Standard, але з дозволами адміністратора.

Ви помиляєтесь, що UAC - це "Запустити як інший користувач". Програми, що працюють під ім'ям адміністратора, за замовчуванням запускаються зі стандартними дозволами . Лише коли програма "підвищена", вона отримує права адміністратора. Це навіть якщо ваш обліковий запис користувача - адміністратор.

UAC був створений, щоб вирішити проблему, що всі процеси, що працюють під користувачем, адміністратором, мали права адміністратора.

Так, це можливо ...
Відкрийте консоль і введіть " runas"

use the /profile switch to select a profile to run the program...
use the /savecred switch to save the admin credentials you choose...

...

RUNAS USAGE:

RUNAS [ [/noprofile | /profile] [/env] [/savecred | /netonly] ]
        /user:<UserName> program

RUNAS [ [/noprofile | /profile] [/env] [/savecred] ]
        /smartcard [/user:<UserName>] program

RUNAS /trustlevel:<TrustLevel> program


   /noprofile        specifies that the user's profile should not be loaded.
                     This causes the application to load more quickly, but
                     can cause some applications to malfunction.
   /profile          specifies that the user's profile should be loaded.
                     This is the default.
   /env              to use current environment instead of user's.
   /netonly          use if the credentials specified are for remote
                     access only.
   /savecred         to use credentials previously saved by the user.
                     This option is not available on Windows 7 Home or Windows 7 Starter Editions
                     and will be ignored.
   /smartcard        use if the credentials are to be supplied from a
                     smartcard.
   /user             <UserName> should be in form USER@DOMAIN or DOMAIN\USER
   /showtrustlevels  displays the trust levels that can be used as arguments
                     to /trustlevel.
   /trustlevel       <Level> should be one of levels enumerated
                     in /showtrustlevels.
   program         command line for EXE.  See below for examples

Examples:
> runas /noprofile /user:mymachine\administrator cmd
> runas /profile /env /user:mydomain\admin "mmc %windir%\system32\dsa.msc"
> runas /env /user:user@domain.microsoft.com "notepad \"my file.txt\""

NOTE:  Enter user's password only when prompted.
NOTE:  /profile is not compatible with /netonly.
NOTE:  /savecred is not compatible with /smartcard.