Existe-t-il un moyen (lorsqu'il est connecté en tant qu'administrateur, ou en tant que membre du groupe Administrateurs) à Masquerade en tant qu'utilisateur non privilégié? Surtout dans un environnement d'annonce.
e.G., dans le monde unix, je pourrais faire ce qui suit (en tant que root):
# whoami
root
# su johnsmith
johnsmith> whoami
johnsmith
johnsmith> exit
# exit
Je dois tester/configurer quelque chose sur le compte d'un utilisateur et je ne veux pas avoir à connaître leur mot de passe ni à le réinitialiser.
Edit :
[.____] runas
ne le coupera pas. Idéalement , tout mon bureau deviendrait l'utilisateur, etc. et non seulement dans une fenêtre CMD.
Je suis assez certain qu'il n'y a pas de moyen pris en charge pour exécuter comme un utilisateur différent sans avoir les informations d'identification de cet utilisateur. C'est une mesure de non-répudiation. Quelqu'un ne peut pas dire: "Je ne l'ai pas fait", car ils l'ont fait, soit une personne avec leurs références l'a fait. Et pour la seconde, ils devraient donner à l'autre personne les diplômes.
Normalement, comment je fais ce que je dois faire en tant que membre de l'utilisateur, un autre utilisateur est d'utiliser une assistance à distance à la RDP essentiellement dans la session et de me donner du contrôle. Ensuite, je fais quoi que ce soit alors qu'ils regardent (probablement, de toute façon).
Quelque chose d'autre peut généralement être fait avec GPO/Scripts.
J'ai remarqué beaucoup d'autres personnes mentionnant des variations sur la commande Runas et la manière dont vous avez besoin de connaître le mot de passe des utilisateurs, qui est vrai, mais je n'ai pas Ne pense que quiconque a un silence a répondu à la question. de "vouloir le tout Desktop deviendraient l'utilisateur, etc. et non seulement dans une fenêtre CMD". Voici la façon dont je vais à ce sujet:
NOTE: Je vais faire référence à cette première invite de commande sous forme de CP1 pour éliminer la confussion plus tard.
Sous votre compte administrateur, Ouvrez l'invite de commande
Pour local compte
runas /profile /user:computernamehere\username cmd
Pour Domaine Compte
runas /profile /user:domainname\username cmd
[~ # ~] ou [~ # ~ ~] la façon dont je le préfère
runas /profile /user:username@domainname cmd
Remarque: Une nouvelle invite de commande s'ouvrira (CP2), il s'agit de l'utilisateur qui tente de vous connecter.
Ouvrez CP1 et tapez:
taskkill /f /IM Explorer.exe
Ouvrez CP2 et tapez:
Explorer.exe
Selon l'ordinateur, il peut créer un profil pour l'utilisateur s'ils ne se sont jamais connectés auparavant. Vous pouvez vous enregistrer le Hassel plus tard par Garder l'invite de commande Windows Ouvrir Pour une utilisation ultérieure.
Lorsque vous avez terminé avec votre travail, faites simplement la même chose en sens inverse.
Dans Type CP2:
taskkill /f /IM Explorer.exe
Ouvrez CP1 et tapez:
Explorer.exe
Vous devriez maintenant revenir dans le compte administrateur orginal. Vous pouvez faire une vérification rapide en appuyant sur la touche Windows et en recherchant le panneau utilisateur actuel.
J'espère que cela a aidé.
Il n'y a pas de mécanisme intégré dans Windows pour le faire. Cela peut être fait, mais vous allez devoir avoir quelque chose d'écrit pour faire ce que vous voulez, et vous allez probablement devoir faire de la boue avec des API sans papiers.
Une des affiches ici, Grafitity, a-t-elle le droit avec Create CreateProcessasuser (), mais vous devrez créer un jeton avec l'API Native ZwcreetokeToken d'abord. Si vous avez tué l'explorateur et a tiré une nouvelle instance Explorer avec CreateProcessasUser (), je suis assez certain que vous obtiendriez envie de votre choix.
Microsoft ne fait pas ce que vous voulez faire, car ce n'est pas la façon dont ils veulent que vous utilisiez NT. Si vous devez être connecté en tant qu'utilisateur de dépannage de leurs problèmes, dans la plupart des cas, vous y parlez de manière sous-optimale.
Vous pouvez apporter des modifications au registre de l'utilisateur W/o Connexion, comme elles (en attachant leur ruche de registre et en le manipulant de cette façon). Vous pouvez modifier les fichiers dans leur profil d'utilisateur w/o étant enregistré en tant qu'utilisateur. Si vous devez "configurer un courrier électronique" ou d'autres activités "telles que l'utilisateur", vous devez écrire des scripts ou tirer parti de fonctionnalités intégrées (modèles d'administration de stratégie de groupe, préférences, etc.) pour faire votre travail sale pour vous.
Si vous avez pour le faire, consultez RunasEx sur le projet de code. Ce code devrait vous donner une assez bonne idée de ce que vous devrez faire. Je n'ai pas essayé le programme, mais cela ressemble à tout ce qui est de la bonne manière.
Vous pouvez utiliser la commande suivante sur Windows XP et plus tard:
RunAs.exe
Les options de ligne de commande sont disponibles ici .
Cela ne fonctionnera pas sans connaître le mot de passe des utilisateurs. Je ne crois pas qu'il existe une manière dans Windows de fonctionner sous un compte d'utilisateur sans le mot de passe en raison de la chargement des identificateurs de sécurité.
(Juste une suppose.) Si votre compte a SeCreateTokenPrivilege
, vous pouvez écrire un petit programme pour créer un processus à l'aide de CreateProcessAsUser()
ou une fonction similaire ... (mais même les administrateurs n'ont pas le privilège par défaut.)
Bien que je n'ai pas d'expérience personnelle avec certaines des solutions sudo mentionnées sur ce site, je recommande vivement non-administration commencé par l'excellent Margose d'Aaron . C'est une aide énorme lorsque vous déployez des utilisateurs limités. J'ai principalement sauté avec quelque chose puisque tout le monde dit utiliser des runas. Cependant, je pense que la plupart ou tous ceux-ci soient appelés sudo pour Windows, plus avec l'élévation plutôt que d'agir comme un autre utilisateur sans leur mot de passe.
Process Explorer ProceXP.exe sur http://live.sysinternerns.com a une exécution en tant qu'utilisateur limité (dans le menu Fichier) qui vous permettra d'exécuter un programme à l'aide de vos informations d'identification actuelles, mais avec votre ACL dépouillé vers celui d'un utilisateur normal (non administrateur). Pas ce que tu voulais exactement, mais bon pour tester.