Как предоставить или получить повышенные привилегии в Windows 10/8/7

Вы, должно быть, заметили, что на вашем компьютере часто устанавливается много программ, для запуска которых требуются права администратора. Наличие прав администратора позволяет вносить изменения в систему, которые могут повлиять на всех других пользователей. Другими словами, любая программа, которую вы решили запустить от имени администратора, предоставляет ей больший доступ к компьютеру при запуске.

Контроль учетных записей уведомляет вас перед внесением изменений – не всех изменений, а только тех, которые требуют уровня администратора или повышенных разрешений. Всякий раз, когда вы запускаете некоторые программы, вы можете сначала увидеть подсказку UAC. Программа запустится только после вашего согласия. Это функция безопасности в Windows. Ключ заключается в понимании того, что можно сделать и как можно добиться изменения прав администратора или повышения привилегий без ущерба для безопасности.

Давайте рассмотрим различные варианты и сценарии.

Откройте окно командной строки с повышенными правами

Хотя вы можете выполнять много задач с использованием CMD, для некоторых задач требовались повышенные привилегии. Windows 8.1 позволяет легко открывать Командную строку (Admin) с помощью меню WinX. Этот пост показывает, как вы можете запустить командную строку от имени администратора.

Читать . Как создать ярлык с повышенными привилегиями для запуска Программы.

Сделать программу всегда Запускать от имени администратора

Если вы хотите, чтобы программа всегда выполнялась с правами администратора, щелкните правой кнопкой мыши исполняемый файл программы и выберите Свойства. Здесь выберите «Запустить эту программу от имени администратора». Нажмите Применить> ОК. Этот пост подробно покажет вам, как сделать так, чтобы приложения всегда запускались от имени администратора.

Отключите режим одобрения администратором с помощью Secpol

Запустите secpol.msc , чтобы открыть локальную политику безопасности и перейти к «Локальные политики»> «Параметры безопасности». На правой панели вы увидите параметр Контроль учетных записей: включить режим одобрения администратором . Дважды щелкните по нему и выберите Отключено .

Этот параметр политики управляет поведением всех параметров политики контроля учетных записей (UAC) для компьютера. Если вы измените этот параметр политики, вы должны перезагрузить компьютер. Доступны следующие варианты: (1) Включено . (По умолчанию) Режим одобрения администратором включен. Эта политика должна быть включена, и соответствующие параметры политики UAC также должны быть установлены соответствующим образом, чтобы позволить встроенной учетной записи администратора и всем другим пользователям, являющимся членами группы администраторов, работать в режиме одобрения администратором. (2) Отключено . Режим одобрения администратором и все параметры политики UAC отключены. Если этот параметр политики отключен, Центр безопасности уведомляет вас о снижении общей безопасности операционной системы.

Имейте в виду, это снизит общую безопасность вашего компьютера!

Предоставление повышенных привилегий в Windows 10/8/7

Стандартный пользователь не имеет каких-либо специальных разрешений для внесения изменений в администрирование сервера. Он может не иметь следующих привилегий: добавление, удаление, изменение пользователя, выключение сервера, создание и администрирование объекта групповой политики, изменение прав доступа к файлам и т. Д.

Но пользователь с правами администратора может сделать гораздо больше, чем обычный пользователь. Права, однако, предоставляются после того, как ему предоставлены повышенные привилегии для каждого уровня в одной из групп, а именно: Локальный сервер, Домен и Лес.

Когда пользователь добавляется в одну из групп, он получает больше возможностей, чем обычный пользователь. Они получают дополнительные права пользователя. Это права или конфигурации, которые управляют «кто» может делать «что» с компьютером. При настройке каждый компьютер может поддерживать уникальный набор администраторов, контролирующих различные области этого компьютера.

Существует более 35 прав пользователя на компьютер. Некоторые из наиболее распространенных прав пользователя, которые управляют повышенными привилегиями на компьютере, перечислены ниже:

• Выключить систему
• Принудительное отключение удаленной системы
• Войти как пакетное задание
• Войти как сервис
• Резервное копирование и восстановление файлов и каталогов
• Включить доверенный для делегирования
• Генерация аудита безопасности
• Загрузка и выгрузка драйверов устройств
• Управление аудитом и журналом безопасности
• Взять на себя ответственность за файлы и другие объекты

Права пользователя развертываются с помощью групповой политики (локальный/Active Directory). Это прокладывает путь для последовательного контроля доступа к серверам.

Кроме того, каждый файл, папка и раздел реестра имеют список контроля доступа (ACL). Список предоставляет стандартные разрешения, такие как

Эти стандартные разрешения позволяют упростить настройку объектов.Короче говоря, ACL – это своего рода список пользователей, групп и/или компьютеров, которым предоставлены разрешения для объекта, связанного с ACL. Вы можете прочитать полную информацию об этом, делегировании Active Directory, делегировании групповой политики и многом другом, в этом отличном посте на WindowsSecurity.com. В нем обсуждается, как предоставить повышенные привилегии для Active Directory и сервера.

Эти инструкции также могут вас заинтересовать.

1. Взять на себя ответственность и полный контроль над ключами реестра
2. Полное владение файлами и папками.

Привилегии

Право доступа является правым для учетной записи, такой как учетная запись пользователя или группы, для выполнения различных операций, связанных с системой на локальном компьютере, таких как завершение работы системы, загрузка драйверов устройств или изменение системного времени. Привилегии отличаются правами доступа двумя способами.

• Привилегии управляют доступом к системным ресурсам и задачам, связанным с системой, в то время как права доступа управляют доступом к защищаемым объектам.
• Системный администратор назначает привилегии учетным записям пользователей и групп, в то время как система предоставляет или запрещает доступ к защищаемому объекту на основе прав доступа, предоставленных ACE в списке DACL объекта.

Каждая система имеет базу данных учетных записей, в которой хранятся привилегии, удерживаемые учетными записями пользователей и групп. Когда пользователь входит в систему, система создает маркер доступа , содержащий список привилегий пользователя, включая тех, которые были предоставлены пользователю или группам, к которым принадлежит пользователь. Обратите внимание, что права доступа применяются только к локальному компьютеру. Учетная запись домена может иметь разные привилегии на разных компьютерах.

Когда пользователь пытается выполнить привилегированную операцию, система проверяет маркер доступа пользователя, чтобы определить, содержит ли пользователь необходимые привилегии, и, если это так, проверяет, включены ли привилегии. Если пользователь не проходит эти тесты, система не выполняет эту операцию.

Чтобы определить привилегии, удерживаемые маркером доступа, вызовите функцию GetTokenInformation , которая также указывает, какие привилегии включены. Большинство привилегий по умолчанию отключены.

API Windows определяет набор строковых констант, таких как SE _ ассигнпримаритокен _ Name, для определения различных привилегий. Эти константы одинаковы для всех систем и определяются в Winnt. h. Таблицу привилегий, определенных Windows, см. в разделе константы прав доступа. Однако функции, которые получают и корректируют привилегии в маркере доступа, используют тип LUID для распознавания привилегий. Значения LUID для привилегий могут отличаться от одного компьютера к другому и от одной загрузки к другому на том же компьютере. Чтобы получить текущий LUID , соответствующий одной из строковых констант, используйте функцию LookupPrivilegeValue . Используйте функцию лукуппривилеженаме для преобразования LUID в соответствующую строковую константу.

Система предоставляет набор отображаемых имен, описывающих каждый из привилегий. Они полезны, когда необходимо отобразить описание привилегий для пользователя. Используйте функцию лукуппривилежедисплайнаме для получения строки описания, которая соответствует строковой константе для привилегии. Например, в системах, использующих английский язык США, отображаемое имя для _ _ права доступа к имени SYSTEMTIME имеет значение «Изменить системное время».

С помощью функции привилежечекк можно определить, содержит ли маркер доступа указанный набор привилегий. Это полезно в основном для серверных приложений, выполняющих олицетворение клиента.

Системный администратор может использовать средства администрирования, такие как диспетчер пользователей, для добавления или удаления привилегий для учетных записей пользователей и групп. Администраторы могут программно использовать функции локального центра безопасности (LSA) для работы с привилегиями. Функции лсааддаккаунтригхтс и лсаремовеаккаунтригхтс добавляют или удаляют привилегии из учетной записи. Функция лсаенумератеаккаунтригхтс перечисляет привилегии, удерживаемые указанной учетной записью. Функция лсаенумератеаккаунтсвисусерригхт перечисляет учетные записи, которые содержат указанные привилегии.

Роли безопасности и привилегии

Управление доступом к данным требует настройки организационной структуры, позволяющей защитить важные данные и в то же время не препятствующей их совместному использованию сотрудниками организации. Это можно выполнить с помощью настройки подразделений, ролей безопасности и политик безопасности полей.

Роли безопасности

Роль безопасности определяет права на доступ к различным типам записей определенной категорией пользователей, например сотрудниками отдела продаж. В целях управления доступом к данным можно изменять существующие роли безопасности, создавать новые и назначать пользователям другие роли. У каждого пользователя может быть несколько ролей безопасности.

Привилегии ролей безопасности являются накопительными: если пользователю назначено более одной роли безопасности, он или она будет обладать всеми привилегиями, которые предоставляют все соответствующие роли безопасности.

Каждая роль безопасности состоит из привилегий на уровне записи и привилегий на уровне задач.

Привилегии уровня записи определяют, какие задачи может выполнять пользователь с доступом к записи, например «Чтение», «Создание», «Удаление», «Запись», «Назначение», «Общий доступ», «Добавление» и «Добавление к». Добавление означает вложение другой записи, например действия или примечания, в данную запись. Добавление к означает, что запись добавлена к данной записи. Дополнительные сведения: Привилегии на уровне записи.

Привилегии на основе задач в нижней части формы предоставляют пользователю привилегии на выполнение определенных задач, таких как публикация статей.

Цветные круги на странице параметров ролей безопасности определяют уровень доступа для данной привилегии. Уровни доступа определяют глубину или высоту организационной иерархии подразделений, доступную для пользователя с данной привилегией. В следующей таблице представлены уровни доступа в приложении, начиная с уровня с самыми высокими правами доступа.

Значок	Описание
	Глобальный. Этот уровень доступа предоставляет пользователю доступ ко всем записям в организации вне зависимости от иерархического уровня подразделения, к которому принадлежит экземпляр или пользователь. Пользователи с глобальным уровнем доступа автоматически имеют расширенный, локальный и базовый уровень доступа. Поскольку этот уровень доступа предоставляет пользователям доступ ко всей информации организации, он должен быть ограничен в соответствии с планом безопасности данных организации. Этот уровень доступа обычно зарезервирован для руководителей организации. В приложении этот уровень доступа обозначается как Организация.
	Расширенный. Этот уровень доступа предоставляет доступ к записям в подразделении пользователя и во всех подразделениях, которые подчинены подразделению пользователя. Пользователи с расширенным уровнем доступа автоматически имеют локальный и базовый уровень доступа. Поскольку этот уровень доступа предоставляет пользователям доступ ко всей информации подразделения и подчиненных подразделений, он должен быть ограничен в соответствии с планом безопасности данных организации. Этот уровень доступа обычно зарезервирован для руководителей подразделений. В приложении этот уровень доступа обозначается как Подразделение и дочерние подразделения.
	Локальный. Этот уровень доступа предоставляет доступ к записям в подразделении пользователя. Пользователи с локальным уровнем доступа автоматически имеют базовый уровень доступа. Поскольку этот уровень доступа предоставляет пользователям доступ ко всей информации подразделения, он должен быть ограничен в соответствии с планом безопасности данных организации. Этот уровень доступа обычно зарезервирован для руководителей подразделения. В приложении этот уровень доступа обозначается как Подразделение.
	Базовый. Этот уровень доступа предоставляет пользователю доступ к принадлежащим ему записям, объектам, к которым пользователю предоставлен общий доступ, а также объектам, к которым общий доступ предоставлен рабочей группе, в которую входит пользователь. Обычно этот уровень доступа предоставляется представителям по продажам и обслуживанию. В приложении этот уровень доступа обозначается как Пользователь.
	Нет. Доступ не разрешен.

Чтобы гарантировать, что пользователи могут просматривать и открывать все области веб-приложения, такие как формы сущностей, панель навигации или панель команд, все роли безопасности в организации должны включать привилегию «Чтение» в отношении сущности Web Resource . Например, без разрешений на чтение пользователь не сможет открыть форму, содержащую веб-ресурс, и увидит сообщение об ошибке, подобное следующему: «Отсутствует привилегия prvReadWebResource «. Дополнительные сведения: Создание или изменение роли безопасности

Привилегии на уровне записи

PowerApps и Customer Engagement (on-premises) используют восемь разных привилегий на уровне записи, которые определяют уровень доступа пользователя к конкретной записи или типу записи.

Право	Описание
Создание	Необходимо для создания новой записи. То, какие записи будут доступны для создания, зависит от уровня доступа и разрешений, определенных в роли безопасности.
Чтение	Необходимо для открытия записи с целью просмотра содержимого. То, какие записи будут доступны для чтения, зависит от уровня доступа и прав, определенных в роли безопасности.
Запись	Необходимо для внесения изменений в запись. То, какие записи можно изменять, зависит от уровня доступа и прав, определенных в роли безопасности.
Удаление	Необходимо для окончательного удаления записи. То, какие записи можно удалять, зависит от уровня доступа и прав, определенных в роли безопасности.
Добавить	Необходимо для связывания текущей записи с другой записью. Например, чтобы добавить примечание к возможной сделке, пользователь должен обладать разрешениями «Добавление» для примечания. То, к каким записям можно добавлять данные, зависит от уровня доступа и прав, определенных в роли безопасности. В случае отношений «многие-ко-многим» необходимо иметь привилегию добавления для обеих сущностей, для которых устанавливается или отменяется связь.
Добавление к	Необходимо для связывания записи с текущей записью. Например, имея права на добавление для возможной сделки, пользователь может добавлять примечания к возможной сделке. То, к каким записям можно добавлять данные, зависит от уровня доступа и прав, определенных в роли безопасности.
Назначение	Необходимо для смены владельца записи. То, для каких записей можно назначать владельца, зависит от уровня доступа и разрешений, определенных в роли безопасности.
Общий доступ	Необходимо для предоставления доступа к записи другому пользователю при сохранении собственного. То, к каким записям можно предоставлять общий доступ, зависит от уровня доступа и прав, определенных в роли безопасности.

Переопределение ролей безопасности

Владелец записи или пользователь с привилегией общего доступа к записи может сделать запись доступной для совместного использования с другими пользователями или рабочими группами. При совместном использовании определенной записи можно добавить привилегии Чтение, Запись, Удаление, Добавление, Назначение и Общий доступ.

Группы используются главным образом для совместной работы с записями, к которым у отдельных участников группы нет доступа. Дополнительные сведения: Управление безопасностью, пользователями и рабочими группами.

Удаление доступа к отдельной записи невозможно. Любое изменение привилегии роли безопасности будет применено ко всем записям этого типа.

Наследование привилегий участника рабочей группы

Привилегии пользователя и рабочей группы

• Привилегии пользователей: Пользователь получает эти привилегии непосредственно, когда ему назначается роль безопасности. Пользователь может создавать и иметь доступ к записям, созданным/Access level basicпринадлежащим пользователю, когда был задан базовый уровень доступа для создания и чтения.
• Привилегии рабочей группы Пользователь получает эти привилегии в качестве участника рабочей группы. Для участников рабочей группы, которые не имеют собственных привилегий пользователя, они могут создавать записи только с командой в качестве владельца, и у них есть доступ к записям, принадлежащим команде, когда задан базовый уровень доступа для создания и чтения.

Роль безопасности может быть установлена, чтобы предоставить члену группы привилегии прямого доступа на базовом уровне. Участник рабочей группы может создавать записи, которыми он владеет, и записи, в которых владельцем является рабочая группа, если задан базовый уровень доступа для создания. Когда задан базовый уровень доступа для чтения, участник рабочей группы может получить доступ к записям, которые принадлежат как этому участнику группы, так и группе.

Создание роли безопасности с наследованием привилегий участника группы

Необходимые компоненты

Убедитесь, что у вас есть роль безопасности «Системный администратор», «Настройщик системы» или эквивалентные разрешения.

Проверьте вашу роль безопасности:

• Следуйте этим инструкциям: Просмотр профиля пользователя.
• У вас нет нужных разрешений? Обратитесь к администратору системы.

Перейдите в раздел Параметры > Безопасность.

Выбор ролей безопасности.

На панели инструментов «Действия» выберите Создать.

Введите имя роли.

Выберите раскрывающийся список Наследование привилегий участника

Выберите Непосредственный уровень доступа пользователя (базовый) и привилегии рабочей группы

Перейдите на каждую вкладку и установите соответствующие привилегии для каждой сущности.

Чтобы изменить уровень доступа для объекта прав, выберите символ уровня доступа до появления нужного вам символа. Возможные уровни доступа зависят от типа записи: принадлежащая организации или принадлежащая пользователю.

Вы также можете установить это свойство наследования привилегий для всех встроенных ролей безопасности, кроме роли системного администратора. Когда пользователю назначается роль безопасности наследования привилегий, пользователь получает все привилегии напрямую, точно так же, как роль безопасности без наследования привилегий.

См. также

Каковы ваши предпочтения в отношении языка документации? Пройдите краткий опрос (обратите внимание, что этот опрос представлен на английском языке).

Опрос займет около семи минут. Личные данные не собираются (заявление о конфиденциальности).

Читайте также:  Ouc exe что это за процесс windows 10