Logowanie pomocnicze (Uruchom jako): Uruchamianie programów i narzędzi w lokalnym kontekście administracyjnym

Streszczenie

Logowanie pomocnicze do systemu Windows 2000 pozwala administratorom na zalogowanie się do konta nie mającego praw administracyjnych i dalsze wykonywanie zadań administracyjnych (bez wylogowywania się) przez uruchamianie zaufanych programów administracyjnych w kontekście administracyjnym. W tym scenariuszu administratorzy systemu potrzebują dwóch kont użytkownika: konta zwykłego z podstawowymi przywilejami oraz konta administracyjnego (może to być inne konto administracyjne dla każdego administratora lub jedno konto administracyjne współużytkowane przez wielu administratorów).


Logowanie pomocnicze rozwiązuje problemy z zabezpieczeniami zgłaszane przez administratorów uruchamiających programy, które mogą być narażone na ataki typu „Koń trojański” (na przykład uruchamianie programu Microsoft Internet Explorer w kontekście administracyjnym w celu uzyskania dostępu do niezaufanej witryny sieci Web).


Chociaż logowanie pomocnicze jest przeznaczone głównie dla administratorów systemu, może z niego korzystać każdy użytkownik mający wiele kont, aby uruchamiać programy w kontekstach różnych kont bez konieczności wylogowywania się.


Usługa logowania pomocniczego jest uruchamiana automatycznie po przeprowadzeniu „czystej” instalacji systemu Windows 2000. „Czysta” instalacja systemu Windows 2000 oznacza albo instalację systemu Windows 2000 na pustym dysku twardym, albo instalację systemu Windows 2000 w folderze innym niż folder, w którym jest zainstalowana istniejąca wersja systemu Windows.

Więcej informacji

Uruchamianie powłoki poleceń w kontekście administracyjnym komputera lokalnego

Po zalogowaniu się jako zwykły użytkownik:
 1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie runas /user: nazwa_komputera\administrator cmd, gdzie nazwa_komputera jest nazwą używanego komputera, a następnie kliknij przycisk OK.
 2. Pojawia się okno konsoli monitujące o hasło dla konta nazwa_komputera\administrator. Wpisz hasło dla konta administratora i naciśnij klawisz ENTER.
 3. Pojawia się nowa konsola uruchomiona w kontekście administracyjnym (tytuł tej konsoli wyraźnie wskazuje, że jest uruchomiona jako nazwa_komputera\administrator).
Z tego okna konsoli można teraz uruchamiać wszelkie programy administracyjne oparte na poleceniach.

Uruchamianie narzędzia Panelu sterowania w kontekście administracyjnym po zalogowaniu się jako zwykły użytkownik

Po zalogowaniu się jako zwykły użytkownik:
 1. Kliknij przycisk Start, wskaż polecenie Ustawienia i kliknij polecenie Panel sterowania.
 2. Wybierz narzędzie, które chcesz uruchomić w kontekście administracyjnym (na przykład: Dodaj/Usuń sprzęt).
 3. Wyróżnij wybrane narzędzie, klikając jego ikonę jednokrotnie lewym przyciskiem myszy.
 4. Przytrzymując wciśnięty klawisz Shift, kliknij tę ikonę prawym przyciskiem myszy. Na liście poleceń pojawi się polecenie Uruchom jako....
 5. Wybierz polecenie Uruchom jako.... Pojawi się okno dialogowe „Uruchamianie programu jako inny użytkownik”.
 6. Wpisz w odpowiednich polach nazwę i hasło konta administratora. Uwaga: nazwę domeny można również zmienić.
 7. Po wprowadzeniu poświadczeń dla konta administratora kliknij przycisk OK; program skojarzony z danym narzędziem zostanie uruchomiony w kontekście administracyjnym.

Uruchamianie skrótu w kontekście administracyjnym

W następującym przykładzie używany jest skrót do programu Zarządzanie komputerem, ale ta metoda działa dla wszystkich skrótów do plików .EXE i zarejestrowanych typów plików, takich jak .TXT, .DOC i .MSC.


Po zalogowaniu się jako zwykły użytkownik:
 1. Użyj Eksploratora Windows do utworzenia na pulpicie skrótu do pliku COMPMGMT.MSC. Plik COMPMGMT.MSC znajduje się w katalogu \%WINDIR%\SYSTEM32. Domyślnie jest to katalog \WINNT\SYSTEM32 na partycji rozruchowej.
 2. Wyróżnij na pulpicie ikonę skrótu do programu compmgmt, klikając ją jednokrotnie lewym przyciskiem myszy.
 3. Przytrzymując wciśnięty klawisz Shift, kliknij prawym przyciskiem myszy ikonę Skrót do compmgmt na pulpicie.
 4. Wybierz polecenie Uruchom jako.... Pojawi się okno dialogowe „Uruchamianie programu jako inny użytkownik”.
 5. Wpisz w odpowiednich polach nazwę i hasło konta administratora. Kliknij przycisk OK.
Uruchomiona zostanie konsola programu MMC z załadowaną przystawką
Zarządzanie komputerem. Przystawka ta jest uruchomiona w kontekście administracyjnym.


Skrót można również tak skonfigurować, aby zawsze był uruchamiany przy użyciu poświadczeń alternatywnych. Można to zrobić, konfigurując właściwości skrótu:
 1. Zamknij i ponownie otwórz konsolę programu MMC, a następnie wyróżnij na pulpicie ikonę Skrót do compmgmt, klikając ją. Kliknij tę ikonę prawym przyciskiem myszy i wybierz polecenie Właściwości.
 2. W środku okna dialogowego Właściwości znajdź pole wyboru „Uruchom jako inny użytkownik". Zaznacz to pole wyboru i kliknij przycisk OK, aby zamknąć okno dialogowe Właściwości.
 3. Kliknij dwukrotnie ikonę Skrót do compmgmt, aby uruchomić konsolę.
 4. Pojawi się okno dialogowe „Uruchamianie programu jako inny użytkownik”. W odpowiednich polach wprowadź poświadczenia, a następnie kliknij przycisk OK.
Tej techniki można używać dla dowolnych skrótów, które chcesz utworzyć i uruchamiać w różnych kontekstach zabezpieczeń.

Uruchamianie programu w kontekście administracyjnym po zalogowaniu się jako zwykły użytkownik

W tym przykładzie używany jest program Notatnik, ale stosując tę sama metodę, można uruchomić dowolny program systemu Windows w alternatywnym kontekście zabezpieczeń.


Po zalogowaniu się jako zwykły użytkownik:
 1. Używając Eksploratora Windows, skopiuj plik NOTEPAD.EXE na pulpit. Program NOTEPAD.EXE znajduje się w katalogu \%WINDIR%\. Domyślnie jest to katalog \WINNT\ na partycji rozruchowej.
 2. Wyróżnij na pulpicie ikonę Notatnika, klikając ją.
 3. Przytrzymując wciśnięty klawisz Shift, kliknij prawym przyciskiem myszy ikonę Notatnika.
 4. Wybierz polecenie Uruchom jako.... Pojawi się okno dialogowe „Uruchamianie programu jako inny użytkownik”.
 5. Wpisz nazwę i hasło konta administratora. Kliknij przycisk OK.
Notatnik zostanie uruchomiony w kontekście administracyjnym.


UWAGA: Nie ma żadnego wskazania, w jakim kontekście zabezpieczeń jest uruchomiony program. Wynika to z faktu, że programy systemu Windows definiują własny tekst tytułu, którego nie można zmienić. Może to prowadzić do zamieszania, jeśli uruchomionych zostanie wiele procesów w różnych kontekstach.

Uruchamianie programu MMC w kontekście administracyjnym przy użyciu zapisanego pliku .msc

W tym przykładzie używany jest istniejący plik .MSC, COMPMGMT.MSC, ale stosując opisaną metodę, w różnych kontekstach zabezpieczeń można uruchamiać dowolny plik MSC.


Po zalogowaniu się jako zwykły użytkownik:
 1. Użyj Eksploratora Windows do skopiowania pliku COMPMGMT.MSC na pulpit. Plik COMPMGMT.MSC znajduje się w katalogu \%WINDIR%\SYSTEM32. Domyślnie jest to katalog \WINNT\SYSTEM32 na partycji rozruchowej.
 2. Wyróżnij na pulpicie ikonę skrótu do programu compmgmt, klikając ją jednokrotnie lewym przyciskiem myszy.
 3. Przytrzymując wciśnięty klawisz Shift, kliknij prawym przyciskiem myszy ikonę compmgmt na pulpicie.
 4. Wybierz polecenie Uruchom jako.... Pojawi się okno dialogowe „Uruchamianie programu jako inny użytkownik”..
 5. Wpisz w odpowiednich polach nazwę i hasło konta administratora. Kliknij przycisk OK.
Pojawi się nowa konsola programu MMC z załadowaną przystawką Zarządzanie komputerem. Przystawka ta jest uruchomiona w kontekście administracyjnym. W podobny sposób administrator systemu może tworzyć niestandardowe konsole programu Microsoft Management Console, zawierające często używane przystawki administracyjne, i uruchamiać je w kontekście administracyjnym, korzystając z logowania pomocniczego.

Uruchamianie powłoki Eksploratora Windows w administracyjnym kontekście zabezpieczeń

Po zalogowaniu się jako zwykły użytkownik:
 1. Uruchom program Menedżer zadań. Kliknij prawym przyciskiem myszy pasek Zadanie i wybierz polecenie Menedżer zadań.
 2. Kliknij kartę Procesy.
 3. Zaznacz pozycję explorer.exe. Kliknij przycisk Zakończ proces. Kliknij przycisk Tak w oknie podręcznym komunikatu ostrzegawczego. Cały pulpit zniknie, ale nadal dostępne będą uruchomione programy, w tym Menedżer zadań.
 4. Kliknij kartę Aplikacje.
 5. Kliknij przycisk Nowe zadanie.
 6. Wpisz polecenie runas /user: komputer/nazwa_domeny\administrator explorer.exe. Kliknij przycisk OK.
 7. Pojawi się okno konsoli i monit o hasło. Zminimalizuj okno Menedżera zadań, wpisz hasło i naciśnij klawisz Enter. Pulpit pojawi się ponownie z paskiem zadań, skrótami, elementami folderu Autostart itd.
 8. Wykonaj niezbędne zadania administracyjne. Na przykład: kliknięcie przycisku Start, wskazanie polecenia Ustawienia i kliknięcie polecenia Panel sterowania uruchamia Panel sterowania w kontekście administracyjnym.
 9. Gdy skończysz, wyloguj Administratora. Nowa powłoka zostanie uruchomiona automatycznie w zwykłym kontekście użytkownika.

Uruchamianie programów w innych kontekstach zabezpieczeń

Powyższe przykłady ilustrują użycie logowania pomocniczego w kontekście administracyjnym. Funkcji tej można jednak używać również w innych kontekstach zabezpieczeń. Zazwyczaj pozwala ona na uruchomienie dowolnego programu lub narzędzia w dowolnym kontekście zabezpieczeń:
 • Można podać prawidłowe poświadczenia konta dla kontekstu alternatywnego.
 • W kontekście alternatywnym można zalogować się lokalnie do systemu.
 • Program lub narzędzie jest dostępne w systemie, w kontekście alternatywnym.

Ograniczenia i rozwiązywanie problemów

Przyczyny, dla których programy lub narzędzia nie są uruchamiane zgodnie z oczekiwaniami:
 • Usługa logowania pomocniczego nie jest uruchomiona w systemie. Kliknij prawym przyciskiem myszy ikonę Mój komputer, wybierz polecenie Zarządzaj. W oknie Zarządzanie komputerem otwórz folder Narzędzia systemowe, kliknij węzeł Usługi i sprawdź, czy usługa Usługa logowania pomocniczego jest uruchomiona.
 • Podane poświadczenia są niepoprawne. Sprawdź poświadczenia, logując się do systemu z początkowego ekranu logowania systemu Windows.
 • Być może próbujesz uruchomić plik EXE przy użyciu ścieżki sieciowej i poświadczenia użyte do połączenia się z tą ścieżką nie były takie same, jak poświadczenia użyte do uruchomienia pliku EXE. Poświadczenia użyte do uruchomienia pliku EXE mogą nie wystarczać do uzyskania dostępu do ścieżki sieciowej. Uruchom
  wiersz polecenia systemu Windows 2000, używając polecenia runas, ponownie połącz się ze ścieżką sieciową, używając polecenia net use, a następnie uruchom plik EXE.
 • Niektóre programy są uruchamiane pośrednio przez powłokę Eksploratora Windows. Należą do nich: Panel sterowania, Folder Drukarki itp. Ponieważ powłoka ta jest uruchamiana w głównym kontekście zabezpieczeń podczas logowania początkowego, każdy proces uruchomiony z tej powłoki pozostaje w tym kontekście zabezpieczeń. Zachowanie to można obejść, uruchamiając narzędzie przy użyciu polecenia Uruchom jako... lub zamykając istniejącą powłokę i ponownie uruchamiając powłokę Eksploratora w kontekście administracyjnym.
Właściwości

Identyfikator artykułu: 225035 — ostatni przegląd: 19.09.2003 — zmiana: 1

Opinia