AdmiLink. Утилита для создания ярлыков "Выполнить от имени Администратора".

Утилита AdmiLink будет Вам полезна, если у Вас возникла необходимость дать Ограниченным Пользователям возможность запускать некоторые нужные программы с правами Администратора, но без постоянного ввода пароля Администратора. Стандартная утилита runas вам тут мало поможет, т.к. она либо требует пароля, либо снижает защиту, позволяя запускать без пароля любые программы. Вам поможет AdmiLink, которая позволит запускать без пароля только то, что надо. С помощью AdmiLink вы можете создать ярлык, который запускает конкретную программу с повышенными правами без ввода пароля (пароль вводится один раз при создании ярлыка).
Программа (начиная с версии 3.0) может работать в Windows-XP/7/8/10-x32/x64 и поддерживает режим UAC (Контроля Пользователей).
Программа (начиная с версии 3.0) может вызываться из контекстного меню "Открыть с помощью...", доступного для всех исполняемых файлов по правой кнопке мыши в любом окне Проводника. Это делает создание ярлыков AdmiLink более удобным.

Содержание

Кратко о программе AdmiLink

AdmiLink - утилита, при помощи которой Администратор может создать ярлык, дающий возможность пользователям с ограниченными правами запускать конкретную (без возможности подмены!) программу с правами Администратора (или любого другого пользователя) без (интерактивного) ввода пароля.

Типичным применением программы AdmiLink является администрирование защищенных систем, в которых пользователь работает в основном под своей ограниченной учетной записью, и только отдельные, строго ограниченные Администратором функции запускает под Администратором, не зная его пароля и не имея возможности запускать другие, несанкционированные программы.

AdmiLink также может использоваться для автоматического запуска программ, требующих прав Администратора, через Автозагрузку. Автоматический запуск предполагает, что пароль Администратора вводить каждый раз не придется.

Другим типичным примером является использование AdmiLink для запуска потенциально опасных программ, например, Web браузера, с пониженными правами без ввода пароля. Так, чтобы избежать заражения машины вирусом, можно запускать Web браузер под учетной записью ограниченного пользователя, что резко снижает вероятность повреждения системы. Чтобы не вводить каждый раз пароль ограниченного пользователя, на Рабочем Столе можно сделать ярлык для запуска Web браузера под ограниченным пользователем.

Программа AdmiLink также содержит полезные дополнительные функции, нужные Администратору, такие как:

• AdmiCalc - формульный калькулятор для выполнения расчетов, с поддержкой переменных и обширным набором стандартных функций.

• AdmiCrypt - позволяет шифровать сообщения для передачи по открытому каналу связи, а также кодировать\декодировать сообщения в разных системах кодировки (HEX,URL,BASE64).

• AdmiTerm - терминал для запуска программ, а также связи по именованным каналам, сокетам TCP/IP и последовательным COM-портам. Это полезно, например, если надо настраивать связь, измерительную аппаратуру, либо запускать программы в случае, когда, например, командный интерпретатор cmd.exe отключен Администратором из соображений безопасности.

• AdmiGuard - утилита, содержащая набор средств для ограничения тех функций Windows, которые (потенциально) снижают защищенность системы. Позволяет, например, запрещать запуск командного интерпретатора, диспетчера задач, редактора реестра, контекстного меню, ограничивать доступ к дискам и сетевым ресурсам и т.д.

В общем, AdmiLink - хороший помощник Администратора, содержащий ряд уникальных функций, которые не так легко найти, тем более в одной, и притом свободной, программе.

• 1.0 - Первая рабочая версия.
• 1.1 - Добавлена привязка ключа к командной строке и IP, MAC адресу. Сделан двуязычный фейс.
• 1.2 - Слегка изменен фейс. Добавлен AdmiCalc - формульный калькулятор.
  Добавлен AdmiTerm - терминал для тестирования именованных каналов, портов TCP/IP и COM-портов, для запуска программ из командной строки и т.д.
  Добавлена задержка при старте программы ("Параметры AdmiRun"). Она нужна в случае запуска из Автозагрузки. Дело в том, что при помещении ярлыка в автозагрузку он не всегда срабатывает, так как для этого надо чтобы была запущена служба "Вторичный вход в систему", а она запускается не сразу. Введение задержки может тут помочь.
• 1.3 - Добавлен AdmiCrypt - утилита для шифрования текстов.
  
• 1.4 - Добавлен выбор домена и пользователя через список.
  
• 1.5 - Добавлен AdmiGuard - ограничение функций Windows, снижающих безопасность системы.
• 1.6 - Устранен досадный bug с именами файлов, содержащими пробелы.
  Если такие файлы передаются в качестве параметра командной строки, AdmiRun старой версии неверно передает их исполняемой программе - нарезает на слова без пробелов. Теперь вроде бы все верно.
  Надо же, а всего-то - забыл кавычки поставить!
• 1.7 - Добавлено сохранение и автозаполнение паролей.
• 1.8 - Устранены мелкие недочеты и ошибки.
• 1.9 - Устранены ошибки в AdmiGuard.
• 2.0 - Устранена проблема с localhost в доменах. Раньше при указании в качестве домена точки или localhost программа запускалась только если компьютер в рабочей группе, а в домене надо было обязательно указывать или имя домена (для входа под пользователем домена) или конкретное имя компьютера (для входа под локальным пользователем компьютера). Теперь точка и localhost должны работать также и в домене. Это позволяет делать переносимые ярлыки для одинаковых локальных пользователей на компьютерах, находящихся в домене.
  Введены опции AdmiRun для использования AdmiRun в пакетном режиме.
  Введены дополнительные опции -d0, -d1, ... -d10 запуска приложения в различных состояниях окна, например спрятанном (Hide=-d0), нормальном (Show=-d1), свернутом (Minimize=-d2) и распахнутом (Maximize=-d3) виде, и т.д. Эти опции доступны в AdmiLink в поле "Способ отображения (Режим ShowWindow)".
• 2.1 - Устранены некоторые баги. Аккуратно внесены новые :) Добавлена программулька SafeRun, которая умеет запускать программы в скрытом окне, а также с ограниченными привилегиями (режим Safer). Это очень хорошо для запуска потенциально опасных программ - например, вызов saferun Firefox запустит браузер с весьма урезанными привилегиями (хотя и под тем же пользователем). Отсутствие привилегий сделает сеанс работы браузера безопаснее - даже при появлении вредоносного вируса ему будет трудно навредить, не имея достаточных привилегий. Программа поставляется с исходниками - изучайте.
  За счет использования SafeRun удалось устанить "моргание" при запуске AdmiRun - он теперь запускается в скрытом окне.
  Вниманию сисадминов - новый проект: UnixUtils Это набор большого количества консольных программ в стиле Unix, который может серьезно облегчить нашу с вами трудную сисадминскую жизнь :).
• 3.0 - Сделана поддержка UAC.
  Работа версии с поддержкой UAC проверялась на Win-XP/7/10/x32/x64.
  Добавлена закладка AdmiGuard\UAC для редактирования свойств UAC.
  Добавлена утилита AdmiLaunch, которая может запускать программы в различных режимах окна, с разными приоритетами, а также запрашивать запуск с повышением прав (Elevation). Эта утилита заменяет SafeRun, которая тоже оставлена для совместимости старых ярлыков.
  Добавлена поддержка контекстного меню Проводника Windows. Теперь программа может вызываться из контекстного меню "Открыть с помощью...", доступного для всех исполняемых файлов по правой кнопке мыши в любом окне Проводника. Это делает создание ярлыков AdmiLink более удобным. Добавление делается при инсталляции с помощью утилиты Resource\Shell\HandleOpenWithMenu.cmd, которая сама по себе представляет интерес.
  AdmiGuard переработан так чтобы запрещать недоступные для пользователя функции.
  Доработан интерфейс чтобы сделать нужные действия интуитивно понятными.
  Доработан инсталлятор.

Для инсталляции AdmiLink загрузите и запустите инсталлятор InstallAdmiLink.Exe.
Инсталляция должна запускаться под Администратором, иначе корректная работа программы в дальнейшем не гарантируется.

В процессе инсталляции надо выбрать язык инсталлятора, а также указать каталог инсталляции (рекомендуется использовать значения по умолчанию).

Для автоматической инсталляции "молча" (например, в командном файле или в составе другого пакета) используйте вызов типа такого:

   InstallAdmiLink.Exe /S                                - инсталляция молча
   InstallAdmiLink.Exe /S /D=C:\Program Files\AdmiLink   - и с указанием каталога
   

Запускать программу можно будет под всеми пользователями.
Однако при запуске AdmiLink из-под ограниченного пользователя ряд функций будет ограничен.
Например, создание ярлыков для всех пользователей будет запрещено. Функции AdmiGuard также будут недоступны.

Удаление программы AdmiLink снова потребует прав Администратора, так как все файлы при инсталляции были созданы с правами Администратора.

Автор программы: Алексей Курякин, 2005..2018, Саров, Россия, kouriakine@mail.ru.

В состав пакета входит три программы: AdmiLink, AdmiLaunch и AdmiRun.

AdmiRun - простая консольная программа, которая умеет только одно - запускать другие программы от имени Администратора (или любого другого пользователя). При инсталляции AdmiRun копируется в каталог Windows, чтобы быть доступной в любом каталоге. AdmiRun может работать как в пакетном режиме (в командных файлах), так и для интерактивного запуска программ (через ярлык на Рабочем столе). Формат вызова можно получить, набрав AdmiRun /?. Разумеется, для запуска программ от имени Администратора нужно знать пароль. С другой стороны, из соображений безопасности открыто передавать пароль нельзя, иначе вся система защиты лишается смысла. Выход состоит в передаче зашифрованной учетной записи (учетная запись = пользователь + домен + пароль). Учетную запись AdmiRun получает через командную строку, однако понять из нее ничего нельзя - учетная запись передается как зашифрованнный ключ. Ключ привязан к конкретному исполняемому файлу, без этого файла AdmiRun просто не сможет расшифровать учетную запись. Поэтому если пользователь попробует запустить другую программу с таким же ключом, он потерпит неудачу. Более того, для того, чтобы сделать жизнь взломщиков повеселее, ключи генерируются с использованием случайных чисел и никогда не повторяются.

Но как сгенерировать упомянутый зашифрованный ключ для запуска интересующей программы? Как Вы (правильно) догадались, это делается при помощи утилиты AdmiLink.

AdmiLink - простая интерактивная программа, которая умеет генерировать ключи для запуска AdmiRun и правильно построенные ярлыки, которые позволяют запускать другие программы от имени Администратора (или любого другого пользователя). AdmiLink шифрует учетную запись Администратора и строит ярлык для вызова AdmiRun, который получает в качестве параметров зашифрованную учетную запись, имя исполняемой программы и прочие параметры командной строки. При этом подменить ключ для запуска программы нельзя, поскольку в шифровании участвует содержимое запускаемого файла. Замена исполняемого файла приведет к тому, что ключ станет недействительным.

Таким образом, Администратор при помощи AdmiLink создает ярлык, который дает возможность пользователям с ограниченными правами запускать конкретную (без возможности подмены) программу с правами Администратора (или любого другого пользователя) без ввода пароля. А это как раз то, что надо.

Утилита AdmiLaunch - программа, которая умеет запускать другие программы в различных режимах окна, с разными приоритетами, с запросом на повышение прав и т.д. Эта утилита нужна для того, чтобы консольное окно AdmiRun не мелькало при запуске программ через ярлыки AdmiLink. Ярлыки AdmiLink сначала вызывают AdmiLaunch, которая вызывает AdmiRun в скрытом или свернутом окне, чтобы его появление не раздражало. Ну а AdmiRun делает всю остальную работу.

Если Вы намерены использовать сохранение и автозаполнение паролей, почитайте также раздел с описанием сохранения и автозаполнения паролей.

Безопасно можно запускать под Администратором простые программы (без сложного интерфейса), либо специально созданные с учетом требований безопасности программы, либо надо очень тщательно настраивать систему безопасности Windows. Смотри описание AdmiGuard и советы.

Напомню, AdmiLink был создан для запуска программ пакета CRW-DAQ, а этот пакет имеет свою внутреннюю систему защиты и создан с учетом возможности работы из-под ограниченного пользователя. Например, диалоги ввода имен файлов там специальные, без выпадающего меню по правой кнопке мыши.

Однако я настаиваю на том, что ВСЕ обсуждаемые в форумах "дыры" в защите не являются проблемой самой программы AdmiLink, а являются проблемой либо системы безопасности Windows, либо уровня образования конкретного Администратора. Обеспечение безопасности - сложная задача, и AdmiLink является только одним из ее звеньев. AdmiLink отвечает за запуск программы, предохраняя от подмены программы, командной строки и т.д. Но AdmiLink не несет ответственности за "дыры" в защите самой запускаемой программы. И если Вы сделали ярлык на программу типа "cmd.exe /c format c:", пеняйте сами на себя, AdmiLink тут ни причем.

Таким образом, вопрос защиты был, есть и будет вопросом компетентности Администратора, который должен понимать, какие программы можно или нельзя запускать из-под Администратора.

Другой жалобой было то, что есть какие-то проблемы при работе AdmiLink на системах, установленных под Fat32. Забудьте. Безопасность и Fat32 - несовместимые понятия. Даже обсуждать тут нечего. Какой смысл что-то вообще защищать, если под Fat32 нет никакой защиты на базовом уровне - на уровне файловой системы.

  runas /savecred /user:host\name program.exe
  

Справедливости ради надо отметить, что runas все же может с большой пользой использоваться, например, если вы, работая под Администратором, хотите запускать программы с пониженными правами, то есть под ограниченным пользователем. Понижение прав полезно, например, для работы в Internet (см. пример). В этом случае вызов программ через runas /savecred не будет приводить к снижению защищенности системы и потому вполне допустим.

Содержание

1. Задать имя исполняемого файла интересующей программы.
   Это должно быть полное имя, с путем и расширением. Проще всего воспользоваться диалогом для ввода имени файла (кнопка справа от поля ввода). Имейте в виду, что полное имя исполняемого файла участвует в шифровании учетной записи, поэтому при изменении пути программы ярлык станет недействительным. Это не ошибка, а один из элементов защиты ярлыков AdmiLink. Ярлыки жестко привязаны к полному пути и содержимому исполняемых файлов.
   
   
2. Задать командную строку для исполняемого файла.
   Этот шаг необязателен, если параметры отсутствуют. Кроме того, имейте в виду, что можно указать привязку шифрования учетной записи к командной строке, чтобы нельзя было получить права Администратора, подменив параметры командной строки в ярлыке.
   Например, делая ярлык c:\windows\system32\control.exe timedate.cpl
   для коррекции системного времени, не забудьте привязать шифрование к командной строке, иначе, отредактировав ярлык, можно будет запустить, например,
   c:\windows\system32\control.exe nusrmgr.cpl
   и получить доступ к управлению пользователями, что совсем нехорошо.
   
   
3. Задать каталог запуска.
   Обычно он устанавливается автоматически после ввода имени файла программы.
   Измените его, если каталог запуска отличается от каталога запускаемой программы.
   
   
4. Задать режим отображения окна программы.
   • SHOW - запускать программу, видимую на экране. Это обычный режим для интерактивных программ.
   • HIDE - запускать программу, не видимую на экране. Это режим для служебных программ, работающих в фоновом режиме.
   
   
   
5. Задать имя домена или компьютера (для локальных пользователей).
   Имя домена можно выбрать из списка по кнопке справа от поля ввода. При задании локальных пользователей в качестве домена используется либо имя компьютера, либо localhost, либо точка (как эквивалент localhost) для обозначения локального компьютера. При задании localhost или точки ярлык сохранит актуальность даже после смены имени компьютера. Если же явно задать доменное имя как текущее имя компьютера, то при смене имени компьютера ярлык станет недействительным. С другой стороны, указание localhost или точки в качестве домена даст возможность пользователям запускать одноименную программу на другом компьютере, а хорошо ли это - Вам решать. Если же компьютер в домене, совсем не лишним будет сделать привязку ярлыка к IP или MAC адресу компьютера, если вы хотите исключить возможность взлома системы путем копирования ярлыка на другой компьютер в домене и запуска одноименной программы на другом компьютере.
   
   
6. Задать имя (целевого) пользователя, от имени которого будет запускаться интересующая программа.
   Имя пользователя можно выбрать из списка по кнопке справа от поля ввода. Я бы рекомендовал не использовать встроенную учетную запись Администратора для запуска программ. Лучше создайте специального пользователя с правами Администратора, настройте его профиль при помощи AdmiGuard и делайте ярлыки для запуска под этим пользователем. Так вы снизите риск взлома системы через ярлыки AdmiLink. Смотрите также советы.
   
   
7. Задать пароль и подтвердить повторным вводом.
   Можно проверить пароль кнопкой Test it now. При нажатии этой кнопки, при условии правильного ввода параметров учетной записи, на экране появится командная консоль, запущенная от имени указанного (целевого) пользователя.
   
   При вводе паролей можно использовать сохранение и автозаполнение паролей. Это дает возможность избежать многократнго ввода паролей целевых учетных записей, под которыми надо запускать программы, сведя число вводов паролей до безопасного минимума. Почитайте описание сохранения и автозаполнения паролей.
   
   
8. Сгенерировать ключ для запуска программы.
   Этот шаг необязателен, если создается обычный ярлык, для запуска программы от имени текущего (ограниченного) пользователя. Однако если Вы хотите запускать программу от имени целевого пользователя, обладающего правами Администратора, не забудьте про ключ! Иначе программа будет запускаться под ограниченным пользователем! При генерации ключа можно указать специальные параметры запуска AdmiRun, например, привязать ключ к командной строке, к IP адресу, к MAC адресу и т.д.
   
   
9. Задать имя ярлыка.
   Обычно оно генеририруется автоматически как "Program as User".
   Но можно задать и что-то свое.
   
   
10. Задать каталог, где создается ярлык.
    Кнопками можно задать типичные каталоги:
    • Desktop - Рабочий стол
    • Start - меню Пуск
    • Programs - меню Программы
    • AutoStart - папка Автозагрузка
    • Favorites - папка Избранное
    • Documents - папка Мои Документы
    • Quick Launch - панель быстрого запуска
    Можно также сделать ярлык для всех пользователей, но для этого надо запустить AdmiLink под Администратором и не забыть поставить галочку в поле All Users.

    При задании каталога ярлыка будьте внимательны. Если, например, вы запустили AdmiLink под Администратором, то и ярлык (по умолчанию) создается на Рабочем Столе Администратора (а не ограниченного пользователя)! Если вы хотите, чтобы ярлык появился на Рабочем Столе ограниченного пользователя, надо явно прописать путь к его Рабочему Столу. Либо надо запустить AdmiLink под ограниченным пользователем, тогда ярлык по умолчанию попадет на Рабочий Стол этого пользователя.

    Если же Вы хотите сделать ярлык для всех пользователей, то надо запустить AdmiLink под Администратором, поставить галочку в поле All Users, а затем нажать кнопку Desktop (например). Либо надо просто явно прописать каталог общего Рабочего Стола, например:
    C:\Documents and Settings\All Users\Рабочий Стол
    
    

11. Задать файл и индекс картинки для ярлыка.
    Обычно это поле заполняется автоматически. По умолчанию предполагается, что картинка берется из исполняемого файла программы с индексом 0.
    
    
12. Сгенерировать результирующую командную строку.
    Это довольно сложная абракадабра, которая и будет выполняться при запуске ярлыка. Ну к примеру, это может быть чем-то вроде:

     C:\WINDOWS\AdmiLaunch.exe -7 C:\WINDOWS\AdmiRun.exe -d+ -i+ -w- -l+ -c- -a- -m- 8B+3/JY5AABl3qQju5BJfbv7dRxjhevM+pcAES7mQI9u7lDPA6rY0OB/4zFbuwpj "C:\WINDOWS\System32\defrag.exe" C:
    
     здесь C:\WINDOWS\AdmiLaunch.exe -7 C:\WINDOWS\AdmiRun.exe              - запуск AdmiRun.exe в свернутом окне с помощью утилиты AdmiLaunch
           -d+ -i+ -w- -l+ -c- -a- -m-                                      - опции запуска
           8B+3/JY5AABl3qQju5BJfbv7dRxjhevM+pcAES7mQI9u7lDPA6rY0OB/4zFbuwpj - ключ запуска с зашифрованной учетной записью
           "C:\WINDOWS\System32\defrag.exe" C:                              - запускаемая программа пользователя
           

    Правильная абракадабра не получится, если на предыдущих шагах допущена ошибка.
    Сгенерированную командную строку можно также использовать в командных файлах, если Вы хотите автоматизировать выполнение рутинных операций.

Если все прошло нормально, без ошибок, разрешается кнопка генерации ярлыка "Create Link now!".
После ее нажатия генерируется ярлык, а все поля сбрасываются. И не ругайтесь! Сброс полей делается сознательно, для того, чтобы минимизировать время, когда пароль Администратора еще находится в памяти. Не забывайте, что существуют взломщики паролей (например, Open Pass), позволяющие увидеть скрытый за "звездочками" пароль в поле ввода пароля.

Применение программы AdmiLink имеет ряд не совсем очевидных особенностей. Главное, что всегда надо помнить, это что в многопользовательской системе требуется четкое понимание, что, когда и под каким пользователем выполняется, и это самое неочевидное во всей этой кухне.

Следует различать:

1. Под каким пользователем был установлен AdmiLink. Это не очень важно, лишь бы это пользователь с правами Администратора.
2. Под каким пользователем запускается AdmiLink при создании ярлыка. Это может быть как ограниченный пользователь, так и Администратор, в зависимости от цели, как станет ясно из следующего примера.
3. Под каким пользователем будет запуcкаться Рабочий Стол Windows при использовании ярлыка. Скорее всего это будет один из ограниченных пользователей локального компьютера или сетевого домена.
4. Под каким пользователем будет запускаться программа через созданный ярлык AdmiLink.

Рассмотрим такой пример.
Пусть имеются пользователи:

1. Пользователь Администратор с правами Администратора.
2. Пользователь root с правами Администратора.
3. Пользователь alex с ограниченными правами.
4. Пользователь oleg с ограниченными правами.

Итак, пусть AdmiLink установлен из-под Администратора, и пусть имеются программы prog1.exe и prog2.exe, которые требуется запускать с правами Администратора (но без ввода пароля), для чего мы будем использовать учетную запись root. При этом Рабочий Стол Windows будет запускаться под ограниченными пользователями alex или oleg, причем программа prog1.exe должна быть доступна всем, а prog2.exe - только пользователю alex.

Как решить такую задачу при помощи AdmiLink?

Решение следующее.

1. Для создания ярлыка Prog1.exe:
   • Запускаем AdmiLink как root (или как Администратор, все равно).
   • На странице AdmiLink\Exe указываем исполняемую программу prog1.exe.
   • На странице AdmiLink\Account вводим учетную запись root и его пароль.
   • На странице AdmiLink\LNK ставим галочку "All Users" и нажимаем кнопку Desktop.
   
   
   В результате в каталоге:
   • c:\Documents and Setings\All Users\Рабочий стол
   будет создан ярлык:
   • "Prog1 as root.Lnk"
   причем этот ярлык будет доступен всем пользователям компьютера.
   
   Заметим, что создание ярлыка, доступного для всех пользователей, потребовало запуска AdmiLink из-под Администратора, так как ограниченный пользователь не может записывать в целевой каталог
   c:\Documents and Setings\All Users\Рабочий стол.
   
   
2. Для создания ярлыка Prog2.exe:
   • Запускаем AdmiLink как alex.
   • На странице AdmiLink\Exe указываем исполняемую программу prog2.exe.
   • На странице AdmiLink\Account вводим учетную запись root и его пароль.
   • На странице AdmiLink\LNK убираем галочку "All Users" и нажимаем кнопку Desktop.
   
   
   В результате в каталоге:
   • c:\Documents and Setings\alex\Рабочий стол
   будет создан ярлык:
   • "Prog2 as root.Lnk"
   причем этот ярлык будет доступен только пользователю alex.
   
   Заметим, что создание ярлыка, доступного только для пользователя alex, потребовало запуска AdmiLink из-под alex, так как целевой каталог
   c:\Documents and Setings\alex\Рабочий стол
   по умолчанию доступен этому пользователю.
   
   

Разумеется, во втором примере мы тоже могли бы запустить AdmiLink как root,
однако при этом потребуется ЯВНО ("ручками") указывать целевой путь ярлыка
c:\Documents and Setings\alex\Рабочий стол,
так как путь ярлыка по умолчанию в этом случае будет
c:\Documents and Setings\root\Рабочий стол
а это вовсе не то, что мы хотели.

В принципе, такой способ даже предпочтительнее (хотя и сложнее), так как созданный ярлык
"c:\Documents and Setings\alex\Рабочий стол\Prog2 as root.Lnk"
уже не может быть (случайно) удален пользователем alex, ведь его создал root.

Запутались?
А ведь это самый простой случай, проще не бывает.
Ничего, привыкните, станет легче.

1. На странице AdmiGuard\Launch можно разрешить выполнение всех программ, кроме списка запрещенных, либо запретить выполнение всех программ, кроме списка разрешенных. Эти списки влияют только на запуск программ из стандартного Проводника Windows, но не влияют на запуск программ из Far или Total Commander. Программы задаются без пути, в формате name.ext, например, notepad.exe. Каждая строка списка должна содержать только одну программу. Обратите внимание, что список разрешенных и запрещенных программ относится к тому пользователю, под которым в данный момент запущен AdmiLink. Не перепутайте пользователя, иначе Вы установите разрешения и запреты не тому, кому хотели.
   
   
2. На странице AdmiGuard\EXE,GUI задаются ограничения на запуск системных программ (диспетчера задач, интерпретатора командной строки, редактора реестра, контрольной панели, инсталляции *.MSI файлов и запуска файлов реестра *.REG), а также на элементы системного графического интерфейса (контекстное меню, меню ПУСК, Рабочий Стол и ПРОВОДНИК), через которые тоже можно запускать программы или менять важные системные настройки. Обратите внимание, что рядом с каждой функцией (в скобках) указано, на какого пользователя действует данная функция.
   
   И еще раз напоминаю - не упускайте из виду, для какого пользователя Вы хотите делать настройки. Если Вы хотите, например, отключить контекстное меню для программы, запускаемой из-под Администратора, то и AdmiGuard запускайте из-под Администратора, так как настройки применяются либо к текущему пользователю, либо к всем пользователям.
   
   
3. На странице AdmiGuard\CD,HDD задаются ограничения на доступ с компактным и жестким дискам. Можно отключить Автозапуск компактных дисков, встроенный Мастер Записи компактных дисков. Можно запретить или вообще спрятать для данного пользователя указанные диски. Впрочем, запреты действуют в рамках стандартного Проводника Windows, но не влияют на доступ из других оболочек (Far, Total Commander). Обратите внимание, что рядом с каждой функцией указано, на какого пользователя она действует. Не упускайте из виду, для какого пользователя Вы хотите делать настройки.
   
   
4. На странице AdmiGuard\Network задаются запреты для сетевых функций. Можно запретить пользователю доступ к Мастеру Новых Подключений, запретить подключение\отключение локальной сети и Интернет, запретить закачку файлов из Интернет, отключить скрытые сетевые ресурсы (типа \\host\ADMIN$, \\host\C$, и т.д.). Обратите внимание, что рядом с каждой функцией указано, на какого пользователя она действует. Не упускайте из виду, для какого пользователя Вы хотите делать настройки.
   
   
5. На странице AdmiGuard\UAC задаются настройки, специфичные для User Access Control. См. описание настройки UAC
   
   

Применение утилиты AdmiGuard имеет ряд не совсем очевидных особенностей.

Во-первых, помните, что при помощи ярлыков AdmiLink вы будуте запускать программы под другим (целевым) пользователем, поэтому и AdmiGuard, скорее всего, надо запускать под этим (целевым) пользователем, так как именно его настройки наиболее критичны с точки зрения безопасности системы.

Кроме того, имейте в виду, что при запуске AdmiGuard из-под ограниченного пользователя этот самый ограниченный пользователь не имеет права менять многие параметры системы, даже если они вроде бы касаются только этого пользователя. Поэтому функции утилиты AdmiGuard работать под ограниченным пользователем, скорее всего, вообще не будут. Ситуация веселая - для выполнения настройки данного пользователя мне надо запускать AdmiGuard под этим пользователем, но у пользователя нет прав для изменения своих настроек! Вот тебе раз!

Как же быть, если Вы все же хотите сделать настройки функций Windows при помощи AdmiGuard для ограниченного пользователя? Это довольно неприятно, но Вам придется временно дать Пользователю права Администратора, выполнить настройки, а затем лишить Пользователя прав Администратора. Другого способа я не знаю. Напишите мне, если Вы это знаете.

Итак, для настройки Ограниченного Пользователя при помощи AdmiGuard Вам придется:

1. Запустить консоль с правами Администратора.
2. Командой control nusrmgr.cpl или control userpasswords2 вызвать апплет для управления пользователями.
3. Изменить тип учетной записи Ограниченного Пользователя на Администратора, либо включить Ограниченного Пользователя в группу Администраторов.
4. Перегрузить систему.
5. Запустить AdmiGuard из-под нужного пользователя, которому теперь (временно) даны права Администратора.
6. Выполнить в AdmiGuard требуемые настройки. Теперь это стало доступным.
7. Командой control nusrmgr.cpl или control userpasswords2 вызвать апплет для управления пользователями.
8. Изменить тип учетной записи снова на Ограниченного Пользователя, либо исключить пользователя из группы Администраторов.
9. Перегрузить систему.

Смотрите также советы.

Ну, надо это для того чтобы не вводить пароли по многу раз. Допустим, Вы запустили AdmiLink на машине Host1 под пользователем Host1\Administrator и Вам надо создать для ограниченных пользователей на данной машине двадцать ярлыков, причем программы должны запускаться под (целевым) пользователем Host1\root, который имеет права (локального) Администратора. Эта довольно типичная ситуация описана в советах. Так что теперь, десять раз вводить пароль для пользователя Host1\root? Не хотелось бы... Что же делать?

А вот что. Итак, запускаем AdmiLink под пользователем Host1\Administrator. При этом, естественно, (один раз) вводится пароль Host1\Administrator. Вводим домен Host1 и имя пользователя root для (целевой) учетной записи Host1\root, затем два раза вводим пароль пользователя Host1\root. Замечаем, что рядом с полем ввода пароля появилась симпатичная кнопочка с зеленой галочкой. Эта кнопочка умеет сохранять пароль учетной записи целевого пользователя, в данном случае Host1\root, в файл. Перед сохранением, ясное дело, спрашивается разрешение. Нажимаем, отвечаем ДА и сохраняем.

Ну, и что мы получили? А то, что теперь всякий раз, когда мы запускаем AdmiLink под пользователем Host1\Administrator и выбираем учетную запись Host1\root (это можно сделать через меню), мы не должны вводить пароль, так как он сам автоматически вводится после заполнения полей домена и имени (целевого) пользователя. Таким образом, число вводов паролей сокращается до одного - надо все-таки ввести пароль Host1\Administrator, чтобы запустить AdmiLink под пользователем Host1\Administrator, которому доступны сохраненные пароли. Если надо создавать много ярлыков, это сокращение числа вводов паролей довольно существенно.

Замечательно, но не приведет ли это к снижению защищенности машины? Не смогут ли другие пользователи использовать сохраненные пароли во вред? Не думаю. Сохраненные пароли защищены.

Как защищено сохранение\автозаполнение паролей?

1. Автозаполнение работает только если Вы запустили AdmiLink под пользователем, имеющим права Администратора. Для обычных пользователей автозаполнение вообще недоступно.
2. Более того, сохраненные пароли доступны только тому пользователю, который их сохранил, и только на том компьютере, на котором он их сохранил. В данном примере только пользователь Host1\Administrator на машине Host1 сможет использовать (сохраненные им) пароли учетных записей.
3. Пароли, естественно, хранятся в зашифрованном виде.
4. Пароли хранятся в приватной области пользователя, который их сохранил и недоступны другим пользователям. Напомним, что только пользователи, имеющие права Администратора, могут сохранять пароли. Но даже если другой пользователь имеет права Администратора, он не может воспользоваться чужими паролями - они находятся в чужой области.
5. Шифрование пароля целевой учетной записи (в нашем примере Host1\root) привязано как к самой целевой учетной записи (в нашем примере Host1\root), так и к учетной записи пользователя, сохранившего пароль (в данном примере Host1\Administrator), а также к данной машине (в данном примере Host1). На другой машине и под другой учетной записью пароли просто не расшифруются, даже если кому-то удастся прочитать файл паролей. Так что другим пользователям этот файл бесполезен.

Вам мало такой защиты? Ну, не сохраняйте пароли. Тогда и автозаполнение не будет работать.

Ну а если Вы вдруг решили срочно удалить сохраненные пароли, там еще другая кнопочка есть, с красным крестиком. Убивает все пароли одним махом. Бальзам для параноиков.

Программа AdmiLink и AdmiRun вообще-то создавались для высокозащищенных систем, где пользователь, запускающий ярлыки под администратором, не должен ни при каких обстоятельствах узнать его пароль или запускать посторонние программы. При этом ярлык хранит зашифрованный ключ, сгенерировать который можно только с помощью программы AdmiLink и только в интерактивном режиме.

А вот как быть с командным режимом, когда надо запускать разные программы под разными пользователями, а вопрос защиты не стоит так остро? Ну, например:

• Ваша основная программа (например, программа управления измерительной системой) работает (благодаря ярлыку AdmiLink) под Администратором. Вы хотите, чтобы по какой-то кнопке запускался, скажем, Internet Explorer, но из соображений безопасности Вам надо, чтобы он запускался под ограниченным пользователем, то есть с пониженными правами. Скрывать пароль в этом случае вообще не нужно - пользователь и так знает свой пароль. RunAs не поможет: там передача пароля в командной строке невозможна, есть только интерактивный режим. Правда, можно использовать ключ SaveCred, но это не очень надежный способ - пароли, сохраненные SaveCred, можно легко очистить, и все перестанет работать. Лучше передавать учетную запись явно.
• Другой случай. Допустим, Администратору домена надо запускать (со своей машины!) разные командные скрипты, работающие под кучей разных пользователей, при этом, поскольку скрипты находятся на машине администратора, защита паролей в общем-то необязательна.
• Другой случай - запуск скриптов для администрирования клиентских компьютеров с Flash-диска, когда скрипты пользователю недоступны и автоматически исчезают при отключении Flash-диска.

Ну, для таких задач одно время я использовал cpau.exe, а потом подумал - зачем? И добавил в AdmiRun ключики, позволяющие делать практически то же самое, что умеет cpau.exe (только лучше :).

Ключ -u+ позволяет отключить шифрование учетной записи (пользователя, домена и пароля). При этом "секретный ключ" передается в URL кодировке и должен иметь вид:

   user%0d%0adomain%0d%0apassword
   user     - имя пользователя
   domain   - домен
   password - пароль
   %0d%0a   - разделитель (CR,LF)
   
   Например, пользователь bilbo в домене shire с паролем ring может использовать ключ типа
   admirun -u+ bilbo%0d%0ashire%0d%0aring c:\Game\Lord.exe
   

Ключ -s+ позволяет отключить интерактивные сообщения (диалоговые окна), которые появляются в случае ошибки запуска программы. Этот режим удобен для командного режима, чтобы лишние сообщения не болтались на экране. В командных файлах лучше анализировать код возврата, чем лицезреть всякие там окна.

Ключ -d0, -d1, ... -d10 позволяет запускать программу в различных режимах:

• -d0 - Запуск программы без окна.
• -d1 - Запуск программы с нормальным окном.
• -d2 - Запуск программы с минимальным (свернутым) окном.
• -d3 - Запуск программы с максимальным (развернутым) окном.
• -d4 - Запуск программы с неактивным окном (текущее окно не теряет фокус).
• -d5 - Запуск программы с нормальным окном.
• -d6 - Запуск программы с минимальным (свернутым) окном.
• -d7 - Запуск программы с минимальным и неактивным окном.
• -d8 - Запуск программы с нормальным окном.
• -d9 - Запуск программы с нормальным окном.
• -d10 - Запуск программы с нормальным окном.

В программе AdmiLink перечисленные ключи не используются, так как они ориентированы на режим командной строки и командных файлов.

Примеры:

   --Запуск Notepad (Minimized) под текущим пользователем 
   admirun -d2 -u+ + c:\windows\system32\notepad.exe
   --Запуск Notepad (Maximized) под localhost\root с паролем boss, с подавлением сообщений об ошибках
   admirun -d3 -s+ -u+ root%0d%0alocalhost%0d%0aboss c:\windows\system32\notepad.exe
   

Имейти в виду: использование открытых паролей НЕБЕЗОПАСНО. Я Вас предупредил!
Не присылайте мне писем с претензиями типа "у меня систему взломали" - Вы ведь на то и Администратор, сами должны знать, в каких случаях уместно использовать открытые пароли, а в каких - смерти подобно.

1. Созданный ярлык не запускается. При запуске выдается сообщение об ошибке.
   
   
   • Проверьте, что у ограниченного пользователя есть права на чтение запускаемого файла. Если права на чтение нет, AdmiRun не сможет расшифровать учетную запись для запуска программы, так как содержимое исполняемого файла используется как ключ для расшифровки учетной записи Администратора.
     Особенно это касается сетевых дисков или сетевых путей. Например, если запускаемая программа расположена на сетевом диске, то может оказаться, что этот диск недоступен для одного из трех пользователей:
     1. ограниченный пользователь, запускающий ярлык,
     2. ограниченный Администратор (промежуточный этап запуска при использовании UAC),
     3. повышенный Администратор, под которым будет запущена целевая программа.
     Если сетевой диск окажется недоступным для одного из этих пользователей, возникнет ошибка.
     В общем случае использовать сетевые диски или пути файлов не рекомендуется. Если надо запускать программу с сетевого диска, рекомендуется создать локально расположенный командный файл *.CMD, запускающий программу с сетевого диска, и сделать ярлык на него.
   • Возможно, исполняемый файл программы был изменен (например, кто-то обновил версию программы). С точки зрения AdmiRun, произошла атака путем подмены исполняемого файла. Скорее всего, Администратору придется создать ярлык для новой версии программы заново. Ничего не поделаешь, за безопасность надо платить.
   • Возможно, было изменено имя компьютера или домена. С точки зрения Windows, сохраненная в зашифрованном ключе учетная запись стала недействительной. Скорее всего, Администратору придется создать ярлык для нового домена заново. Ничего не поделаешь, за безопасность надо платить.
   • Проверьте, что запущена служба seclogon (Вторичный вход в систему). Именно эта служба выполняет запуск программ под разными пользователями, без нее запуск программ из-под других пользователей не работает.
   • В старых версиях AdmiLink есть проблемы с передачей в качестве параметров вызываемой программы имен файлов, содержащих пробелы. Проблема устранена в версии 1.6. Обновите версию AdmiLink, если для Вас актуальна эта проблема.
   • На машинах, работающих в сетевых доменах, могут не запускаться ярлыки, если для них указана целевая учетная запись с точкой (".") в качестве имени домена (для локальных учетных записей этого компьютера). В этом случае попробуйте указать в качестве доменного имени localhost, а не поможет - попробуйте явно указать имя локального компьютера, тогда все точно заработает. Вообще-то, по правилам Windows, точка - эквивалентная замена имени локального компьютера (как localhost в Unix), однако это может быть запрещено политикой безопасности данного домена.
   
   
   
2. Ярлык в папке Автозагрузка не срабатывает
   
   Ситуация предсказуемая. Дело в том, что запуск из-под другого пользователя выполняет служба seclogon (Вторичный вход в систему). Эта служба, как и прочие службы Windows, запускается с задержкой, в первые секунды после старта текущего сеанса работы Windows. Так что вполне возможна ситуация, когда попытка запуска ярлыка происходит до запуска службы seclogon.
   
   Эта болезнь лечится вводом задержки в 15 - 30 секунд в поле
   • "AdmiRun ждет при старте, сек ..."
   на странице
   • "AdmiLink\Account"
   За счет этой задержки службе seclogon дается время для корректного запуска. Время задержки определяется производительностью компьютера и сложностью стартовых скриптов или программ.
   
   
3. Нужно создавать ярлыки, доступные для всех пользователей
   
   Ну, тогда надо создавать ярлыки в каталоге
   c:\Documents and Setings\All Users
   
   Для этого надо запустить AdmiLink из-под Администратора и поставить галочку "All Users" на странице "AdmiLink\LNK".
   Либо надо "ручками" прописать целевой путь ярлыка, сославшись на каталог "All Users".
   
   
4. Созданный ярлык доступен только одному пользователю
   
   А Вы что хотели? Ясное же дело, если запустить AdmiLink под (ограниченным) пользователем, то и ярлык (по умолчанию) создается на Рабочем Столе этого пользователя и другим пользователям будет недоступен.
   
   Чтобы сделать ярлык для всех пользователей, надо либо "ручками" размножить ярлык, скопировав его на Рабочие Столы других пользователей, либо, что будет правильнее, поместить ярлык в профиль "All Users", как описано в предыдущем пункте.
   
   
5. Надо разрешить ограниченному пользователю установку системного времени
   
   Создайте ярлык с программой

            c:\windows\system32\control.exe timedate.cpl
           

   Рекомендуется зафиксировать командную стоку на странице "AdmiLink\Account", чтобы нельзя было вызвать другие контрольные панели.
   
   
6. Нужно выполнять программы из-под Администратора в командном режиме
   
   Создайте ярлык и скопируйте командную строку из ярлыка в командный файл.
   Ну к примеру, что-нибудь типа:

           C:\WINDOWS\AdmiRun.exe -d+ -i+ -w- -l+ -c- -a- -m- 8B+3/JY5AABl3qQju5BJfbv7dRxjhevM+pcAES7mQI9u7lDPA6rY0OB/4zFbuwpj "C:\WINDOWS\System32\defrag.exe" "C:"
           

   
   
   
7. Проблемы с Fat32 ...
   
   Забудьте про Fat32. Безопасность и Fat32 - несовместимые понятия. Даже обсуждать тут нечего. Какой смысл что-то вообще защищать, если под Fat32 нет никакой защиты на базовом уровне - на уровне файловой системы.
   
   Используйте NTFS - родную систему Windows-NT/2000/XP/Vista.
   
   
8. Проблемы с переносом ярлыков...
   
   Вообще говоря, ярлыки AdmiLink привязаны к содержимому исполняемого файла, его полному пути, размеру и дате файла, а также (по желанию) к командной строке программы, IP и MAC адресу машины. Перечисленные данные участвуют в шифровании целевой учетной записи (то есть домена, пользователя и пароля), под которой будет запускаться программа. Если что-то задано неправильно, то AdmiRun неверно расшифрует учетную запись и Windows не сможет запустить программу. На самом деле AdmiLink не знает, правильно ли расшифрована учетная запись, он видит просто, что с данной расшифровкой программа не запускается. AdmiLink также не знает причины, по которой она не запускается. С точки зрения AdmiLink изменение любого параметра, из-за которого учетная запись расшифрована неверно, является попыткой взлома системы (атаки).
   
   Ярлык переносим, только если все перечисленные параметры полностью идентичны тем, которые были указаны в момент создания ярлыка. Это довольно сильное условие. Поэтому перенос ярлыков на другой компьютер в общем случае не работает. При переносе ярлыков несколько помогает то, что на локальный компьютер можно сослаться, указав localhost или точку в качестве домена. Если на другом компьютере поместить ТУ ЖЕ программу ПО ТОМУ ЖЕ пути, сохранив при этом ее дату, то ярлык, может быть, и заработает.
   
   Но вообще-то безопасность была приоритетной целью AdmiLink, а переносимость ярлыков на другие машины как явная цель вообще не ставилась. Ну, не помрет Ваш Админ, сделает еще пару ярлыков. Безопасность дороже стоит.
   
   
9. А почему бы не использовать стандартную утилиту RunAs вместо AdmiLink?
   
   А потому. RunAs - это даже не просто дыра, а фактически полное разрушение системы защиты.
   
   
10. А зачем AdmiCalc
    
    Он удобнее стандартного калькулятора - доступны формулы, скобки, переменные, ряд функций.
    
    
11. А зачем AdmiTerm
    
    Командный интерпретатор cmd.exe может быть запрещен Администратором. В этом случае терминал "AdmiTerm\Task terminal" - хорошая альтернатива консоли.
    
    Терминал именованных каналов и TCP/IP - хорошее средство для тестирования и наладки сети, а также проверки программ, которые управляются или взаимодействуют через каналы или сокеты.
    
    Терминал COM портов - средство отладки для измерительной аппаратуры с интерфейсом RS-232/422/485.
    
    
12. А зачем AdmiCrypt
    
    Передача шифрованных сообщений через открытые каналы связи, к примеру, по электронной почте. Кодирование-декодирование MIME блоков.
    
    
13. А зачем AdmiGuard
    
    Для настройки параметоров UAC Контроля Прав Пользователя.
    
    Для настройки некоторых параметров системы безопасности Windows.
    
    Чтобы запретить все "лазейки" для получения прав Администратора при запуске программ через ярлыки AdmiLink.
    
    Чтобы запрещать Пользователю изменение критических параметров системы.
    
    
14. Программа запускается под текущим пользователем, а не под Администратором
    
    Скорее всего Вы забыли сгенерировать ключ запуска AdmiRun. Это шаг № 8 на странице AdmiLink\Account.
    
    
15. Программа не удаляется
    
    Установка и удаление программы должны делаться под Администратором. Запустите деинсталлятор от имени Администратора.
    
    
16. AdmiGuard не работает
    
    Скорее всего, Вы запустили AdmiLink под Ограниченным Пользователем. У этого пользователя не хватает прав для изменения параметров безопасности (даже своих собственных!).
    
    Если Вам надо менять общие параметры безопасности, запускайте AdmiLink под Администратором.
    
    Если Вы хотите все же изменить параметры безопасности Ограниченного Пользователя, Вам придется временно включить этого пользователя в группу Администраторов, запустить AdmiLink, сделать настройки, а затем исключить пользователя из группы Администраторов. Смотри описание AdmiGuard и советы.
    
    
17. Не работает автозаполнение паролей Скорее всего, изменилось имя компьютера, или домена, или Вы запускаете AdmiLink не под тем пользователем, который сохранял пароли. Почитайте повнимательнее раздел про сохранение и автозаполнение паролей.
    
    

1. Оставьте встроенную учетную запись (локального) Администратора в покое. Не делайте ярлыков AdmiLink на эту учетную запись. Используйте учетную запись встроенного Администратора только для аварийных ситуаций. Для повседневной работы создайте другого Администратора (пользователя в группе Администраторы). Назовем его корневым Администратором по имени root. Он будет использоваться для администрирования и создания ярлыков AdmiLink.
   
   
2. Создайте для запуска программ с правами Администратора через ярлыки AdmiLink другого (главного) пользователя с правами Администратора, назовем его main. В этом есть большой смысл, так как этот пользователь может иметь специальные настройки и ограничения, которые необязательны для встроенной учетной записи Администратора или для корневого администратора root. Кроме того, ему будут недоступны сохраненные пароли, если используется сохранение и автозаполнение паролей.
   
   
3. Используйте учетную запись корневого Администратора (мы назвали его root) при создании ярлыков AdmiLink, если Вы планируете использовать сохранение и автозаполнение паролей. Тогда, введя пароль главного администратора main один раз, вы сможете избежать многократного ввода паролей (целевых) учетных записей, не снижая защищенности системы, так как только зайдя под root Вы сможете прочитать сохраненные им пароли.
   
   
4. Запустите AdmiGuard под учетной записью main и запретите этому пользователю все лишние возможности, особенно контекстное меню Проводника, запуск системных утилит и т.д. Это предохранит Вашу систему от взлома через ярлыки, созданные программой AdmiLink.
   
   
5. Создайте и настройте ограниченных пользователей, под которыми будет запускаться Рабочий Стол Windows. Рекомендуется следующий алгоритм создания и настройки ограниченного пользователя:
   1. Создайте нового пользователя с правами Администратора.
   2. Сделайте настройку профиля пользователя, его Рабочего Стола и т.д.
   3. Запустите под созданным пользователем AdmiGuard и отключите все лишние функции Windows.
      Что считать лишним - судить Вам, исходя из поставленных задач.
      Для настройки Windows могу посоветовать свободную утилиту XP Tweaker.
   4. Измените тип учетной записи настроенного пользователя на "Ограниченного пользователя".
   5. Перегрузите компьютер.
   Заметьте, что пользователь создается с правами Администратора, и только после настройки переводится в группу Ограниченных Пользователей. Это связано с тем, что многие настройки запрещены для ограниченных пользователей (даже если они касаются только этого пользователя!). Поэтому пользователя сначала надо настроить, а потом уже лишить прав Администратора. Не очень-то удобно, но другого способа я не знаю.
   
   
6. Создайте при помощи AdmiLink (запускаемого под корневым пользователем root) ярлыки для всех программ, требующих для корректной работы прав Администратора, указав при этом главного пользователя main в качестве целевого пользователя. Использование специально настроенного пользователя main для выполнения программ предохранит систему от взлома. Сделайте созданные ярлыки доступными для ограниченных пользователей, которые будут ими пользоваться, например поместив их в общие папки.
   
   
7. При создании ярлыков AdmiLink не упускайте из виду, для кого Вы хотите создавать ярлыки. Если Вы хотите создать ярлыки, доступные для всех пользователей, то запускайте AdmiLink под пользователем root и не забывайте про флажок "All Users" при задании пути ярлыка. Если Вы хотите создать ярлыки, доступные только для одного ограниченного пользователя, то запускайте AdmiLink под этим пользователем, тогда ярлыки будут созданы по умолчанию в папках этого пользователя. А еще лучше запускайте AdmiLink всегда под пользователем root и прописывайте пути ярлыков ЯВНО, тогда пользователь эти ярлыки не сможет (случайно) удалить, так как их владельцем будет root.
   
   
8. Запускайте Web браузер и другие потенциально опасные программы, работающие в сети Internet, только в "карантинной зоне", под пользователем с ограниченными правами. Для этого создайте ограниченного пользователя, запретите этому пользователю все лишние возможности, такие как запуск командной строки, редактора реестра, диспетчера задач и т.д. Затем сделайте при помощи AdmiLink ярлыки для запуска интересующих программ под этим ограниченным пользователем. Запуск Web браузера с пониженными правами поможет предохранить машину от заражения вирусами (см. пример).
   
   
9. И почитайте еще примеры 1, 2, 3, 4.
   
   

Начиная с версии 3.0 AdmiLink может работать в Windows-XP/7/8/10-x32/x64 и поддерживает режим UAC (Контроля Прав Пользователей).

Технология UAC (Контроль Прав Пользователей) появилась в Windows Vista и входит во все последующие версии Windows. Её принципы подробно и доходчиво изложены здесь, тут и там. Повторяться нет смысла, изучайте указанную документацию. Здесь уместно лишь сказать о том, что непосредственно касается AdmiLink.

При включении UAC запуск программ с правами Администратора (это теперь называется Elevation, т.е. Повышение прав) выполняется в два этапа:

1. Вход под другим пользователем (входящим в группу Администраторы). До появления UAC этого было достаточно для повышения прав. Теперь вход осуществляется под "ограниченным Администратором", который имеет всё то же (имя, домашний каталог и т.д.), но выполняется с правами пользователя. Вход под другим пользователем требует ввода пароля. В случае использования AdmiLink он позволяет передавать пароль через зашифрованный ключ, что избавляет от необходимости интерактивного ввода пароля.
2. Повышение прав (ELEVATION). Эта операция, если она выполняется от имени "ограниченного Администратора", уже не требует пароля. Она (в зависимости от настроек UAC) выполняется по запросу молча или через диалог подтверждения. Раньше эта операция в AdmiLink отсутствовала. Начиная с версии 3.0 она добавлена. Теперь ярлыки AdmiLink сразу после входа под другим пользователем запрашивают повышение прав UAC.

Обратите внимание, что в списке параметров команды AdmiRun (как и новой команды AdmiLaunch) появилась опция -e, от слова elevate (повышать) и elevation (повышение). По умолчанию опция включена для AdmiRun и отключена для AdmiLaunch. Это связано с тем, что эти программы обычно используются "в связке", например:

AdmiLaunch -7 AdmiRun -e+ key UserProgram.exe

Обратите внимание, что в программе AdmiLink на закладке Admilink\Account в списке опций AdmiRun появилась "галочка", управляющая опцией повышения прав. По умолчанию эта опция включена. Если вы хотите, чтобы автоматического повышения прав не происходило, отключите эту опцию, и тогда вход будет осуществляться под "ограниченным Администратором".

Обратите внимание, что на закладке AdmiGuard\UAC появились средства настройки UAC.

Это большое подспорье СисАдминам, т.к. UAC имеет (см. тут) 10 параметров настройки,
большинство из которых не редактируются простыми штатными средствами Windows.
Например, слайдер на закладке

    Панель управления
      Учетные записи пользователей
        Учетные записи пользователей
           Параметры управления учетными записями пользователей
             Настройка уведомления об изменении параметров компьютера
   

    сmd
    gpedit.msc
      Редактор локальной групповой политики
        Политика "Локальный компьютер"
          Конфигурация компьютера
            Конфигурация Windows
              Параметры безопасности
                Локальные политики
                  Параметры безопасности
                    Контроль учетных записей: виртуализация сбоев записи в файл или реестр на основании расположений пользователя
                        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization
                        0 Отключен
                        1 Включен
                    Контроль учетных записей: все администраторы работают в режиме одобрения администратором
                        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
                        0 Отключен
                        1 Включен
                    Контроль учетных записей: обнаружение установки приложений и запрос на повышение прав
                        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection
                        0 Отключен
                        1 Включен
                    Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав
                        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop
                        0 Отключен
                        1 Включен
                    Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором
                        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
                        0 Повышение без запроса
                        1 Запрос учетных данных на безопасном рабочем столе
                        2 Запрос согласия на безопасном рабочем столе
                        3 Запрос учетных данных
                        4 Запрос согласия
                        5 Запрос согласия для исполняемых файлов, отличных от Windows
                    Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей
                        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser
                        0 Автоматическое отклонение запросов на повышение прав
                        1 Запрос учетных данных на безопасном рабочем столе
                        2 Не используется
                        3 Запрос учетных данных
                    Контроль учетных записей: повышение прав для UIAccess-приложений только при установке в безопасных местах
                        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths
                        0 Отключен
                        1 Включен
                    Контроль учетных записей: повышение прав только для подписанных и проверенных исполняемых файлов
                        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ValidateAdminCodeSignatures
                        0 Отключен
                        1 Включен
                    Контроль учетных записей: разрешение UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол
                        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle
                        0 Отключен
                        1 Включен
                    Контроль учетных записей: режим одобрения администратором для встроенной учетной записи администратора
                        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken
                        0 Отключен
                        1 Включен
   

Если Вы хотите отблагодарить автора AdmiLink и помочь автору
в разработке и поддержке AdmiLink, можете сделать пожертвование
(например, через "мобильный банк"):

МИР 2202203255085211 СберБанк РФ

Если вы заметили ошибки или имеете предложения по улучшению программы,
пишите на адрес: kouriakine@mail.ru

Donate AdmiLink

If you want to thank the author of AdmiLink and help the author
in the development and support of AdmiLink, you can make a donation
(for example, through " mobile Bank"):

MIR 2202203255085211 Sberbank of Russia

If you found errors or have suggestions to improve the program,
send a mail to: kouriakine@mail.ru

Успеха в Admi-нистрировании! В случае чего mailto:kouriakine@mail.ru