Некоторые производители ПО до сих пор не соблюдают элементарных правил разработки программ для современных многопользовательских вычислительных сред и создают программы, не позволяющие их использовать без дополнительных костылей в условиях централизованной инфраструктуры с требуемым уровнем безопасности и ограниченными правами пользователей.

Столкнувшись на практике с обслуживанием систем видеонаблюдения я отказывался понимать, что ПО для просмотра видеокамер выпущено совсем недавно (производителя умолчу). Программа, к моему удивлению, требовала для своей работы административных прав, причем анализ того, что именно она делает с компьютером, не выявил необходимости в этом. Да, программа хранит настройки в директории установки в Program Files и ограниченная учётная запись не имеет доступ к ним на запись, но попытка обойти это ограничение установкой программы в другую папку, успехом не увенчалась. Одним из решений которое я в итоге использовал, было подписание исполняемого файла своей цифровой подписью и редактирование манифеста с заменой level=”requireAdministrator” на level=”asInvoker”, но ввиду отсутствия цифровых подписей в широком обиходе в этой статье я расскажу о другом варианте решения:

Из нескольких способов запуска программ с правами администратора под пользовательскими учётными записями я остановился на утилите RunAsRob, она устанавливает в систему свою службу и позволяет создавать повышающие в правах ярлыки на любые программы. Установку самой утилиты, как вы понимаете, нужно выполнять с правами администратора, а теперь обо всём по порядку.

Runasrob распространяется в zip-архиве, в котором находятся две папки x86 и x64. Выбрав требуемую разрядность и запустив RunAsAdmin.exe вы увидите следующее окно:

Установка RunAsRob

Нажимите Install RunasRob. Это выполнит установку службы, а её исполняемый файл скопируется в папку Program Files\RunasRob. Далее я рекомендую закрыть установщик, положить его в директорию установки и запустить уже оттуда. В рассматриваемом примере мы не будем ставить софт для видеонаблюдения, а сделаем всё задуманное с отличной утилитой AntiSMS, которая так же требует прав администратора, но необходимость этого вопросов не вызывает.

Создание ярлыка

Добавляем программу в список, ставим галку на Logon as administrator и жмем на Create shortcut. Это создаст в папке с RunasRob ярлык на запуск. В его свойствах вы можете поменять иконку и, если требуется, комментарий.

Редактирование ярлыка

После этого перенесите ярлык в доступное ограниченному пользователю место, например на общий рабочий стол и перелогиньтесь в пользовательскую учётку. Первый запуск ярлыка из под ограниченной учётной записи потребует ввести пароль от неё (не административный, а именно пользовательский пароль) и не забудьте поставить галку на Store credentials.

Запуск программ с правами администратора под ограниченной учётной записью

На этом настройка закончена, а созданный ярлык позволит запустить программу с правами администратора под ограниченной учётной записью. В данном решении есть небольшой недостаток – мигание консольного окна при запуске, но я обычно в этот момент медленно моргаю и не замечаю этого)).