Здравствуйте, это не совсем просьба о лечении:)
был у меня баткик со следующим содержанием:

net share c$ /delete
net share d$ /delete
net share e$ /delete
net share admin$ /delete

В ХР всё работало отлично.
Но вот пришла семёрка, вставленный батник в автозагрузку не работает (в доступе отказано), вот так по-идее должно работать:
echo 111|runas /user:administrator E:\temp\batnik.bat
но всё равно не работает.
итог всегда один:
ОШИБКА RUNAS: Не удаётся запустить - E:\temp\batnik.bat
1326: Вход в систему не произведён: имя пользователя или пароль не опознаны.
Учётка админа активна.
Вобщем вопрос такой: что прописать в батнике чтобы он из автозагрузки запускался с правами админа?

Вобщем вопрос такой: что прописать в батнике чтобы он из автозагрузки запускался с правами админа?Возможно, проще пойти одним из способов:
1. Использовать AutoExNt
2. Использовать планировщик nnCron, работающий от имени админа или системной учётки, а в качестве расписания для батника указать ? ? * * *
3. Использовать cpau (не знаю, будет ли работать в семёрке).

Касательно конкретно этого батника - IMHO, проще один раз в реестре ковырнуть, чем прикручивать костыли. Отключить автосоздание админских ресурсов штатным образом - и "скрипач не нужен".

pig, В данном случае - правильно. Хотя, иногда без такого костыля не обойтись(тут где-то было про штатные глюки принтеров HP) , поэтому, далее по теме
dgigernaw В севене, кажется, можно заставить файл всегда запускаться от имени администратора.

Да я бы отключил в реестре autosharewks если бы не надо было держать расшариную папку и принтеры.
Так выходит, что отрезается всё, а мне-то надо только выбранные общие ресы порезать...

Но вот пришла семёрка, вставленный батник в автозагрузку не работает (в доступе отказано), вот так по-идее должно работать:
echo 111|runas /user:administrator E:\temp\batnik.bat
А без автозагрузки батник работает?
администратор у вас именно так пишется, а точнее не содержит русских символов в логине или пароле?
Добавлено через 8 минут

и какая у вас версия семерочки?

ЗЫ. у меня в максимальной семерке удаление админских шар под юзером через runas работает, но через автозагрузку не пробовала )

- батник положите - куда душа пожелает, а в автозагрузку помещаете его ярлык, в свойствах которого ставите галку "запускать от имени Администратора"... и будет вам ЩастЕ :>

- батник положите - куда душа пожелает, а в автозагрузку помещаете его ярлык, в свойствах которого ставите галку "запускать от имени Администратора"... и будет вам ЩастЕ :>
щастья не случилось - у меня с такой опцией ярлык при загрузке учетки не запускается вообще.. %)
хотя по логике должен был запуститься и поинтересоваться админским паролем, что он и делает если его просто клацнуть в папке автозагрузки

- а если для ярлыка "правильного" владельца подобрать?.. ;)

сменила владельца ярлыка на Администратор (из группы Администраторы ) - не помогло, ну не запускается при загрузке windows
сменила владельца на Администратор и батничка (ярлык тоже с владельцем Администратор остался) с содержимым в виде net share c$ /delete - не помогло, опять же тупо не запускается..

сняла галку "запускать от админа" - запустился при загрузке но прав не хватило, с runas и запустился и отработал

что я делаю не так? :)

...что я делаю не так? :)- видимо это я чтото не так излагаю... к тому же, под рукой нет Win7, а Vista это не совсем то... может нужно не Админ, а SYSTEM :>

Добавлено через 2 минуты

ЗЫ кроме всего прочего, - пятница жеж, моцг пивом расслаблен :)

с владельцем "система" (у меня русская версия windows 7) та же петрушка, что и с администратором..
или я всё-таки что-то не так делаю :worried:

- видимо, финты с папкой Автозагрузка в Win7 не дадут желаемого... предлагаю попробовать прописать батник или его ярлык в ключе реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
...должно получиться, т.к. именно так производится автозапуск большинства программ при входе в систему, причём, запускаются они для всех пользователей в системе. :>

Мне кажется, что надо смотреть в сторону UAC и маркера доступа.
Например, по этим статьям:
Развертывание групповой политики в Windows Vista (http://technet.microsoft.com/ru-ru/library/cc766208%28WS.10%29.aspx)
Windows7 Prof Не отрабатывает WshNetwork.MapNetworkDrive (http://social.technet.microsoft.com/Forums/ru-RU/windows7ru/thread/6b22c421-05f2-44b2-8f45-a516df847e91)
При включенном контроле учетных записей пользователей в Windows Vista доступ программ к некоторым сетевым ресурсам ограничивается (http://support.microsoft.com/kb/937624)
А именно:
Контроль учетных записей пользователей может вызвать сбой сценариев групповой политики
По умолчанию все пользователи, входящие в систему Windows Vista, используют их полный маркер для обработки сценариев входа и групповой политики. Однако для загрузки рабочего стола и всех последующих процессов, они используют маркер ограниченного доступа обычного пользователя. Неадминистративные маркеры ограниченного доступа и доступа с повышенными правами почти идентичны в отношении групп и привилегий. Поэтому процесс, запущенный пользователем с неадминистративным маркером ограниченного доступа, может видеть процессы, запущенные пользователем с неадминистративным маркером с повышенными правами. Windows разрешает это, поскольку приложение просмотра не требует повышения прав для просмотра процесса, запущенного пользователем с маркером с повышенными правами.

Windows аналогичным способом обрабатывает локальный вход в систему администратора. Для обработки сценариев входа и групповой политики используется маркер с повышенными правами, а рабочий стол и последующие процессы используют маркер ограниченного доступа. Однако между маркером ограниченного доступа и маркером пользователя с повышенными правами имеются различия в привилегиях. Поэтому Windows ограничивает процессам, запущенным пользователем с маркером ограниченного доступа, возможность использовать данные совместно с процессами, запущенными пользователем с маркером с повышенными правами.

Контроль учетных записей может нарушить правильную работу сценариев входа в систему групповой политики. Например, среда домена содержит объект групповой политики, который включает сценарий входа в систему для подключения сетевых дисков. Пользователь, не являющийся администратором, входит в домен с компьютера под управлением Windows Vista. После загрузки рабочего стола операционной системой Windows Vista этот пользователь запускает проводник Windows. Пользователь видит три подключенных диска. В этой же среде пользователь с правами администратора входит в домен с компьютера под управлением Windows Vista. После загрузки рабочего стола операционной системой Windows Vista этот пользователь также запускает проводник Windows. После этого пользователь уже не видит подключенные диски.
Т.е., для проверки, если отключить UAC - батник отработает?

И меня интересует ответ на такой вопрос:
А зачем делать?
net share c$ /deleteЗачем, понятно: удалить административные ресурсы.

Задам более конкретный вопрос: А какую уязвимость дает НЕ удаление этих ресурсов при дефолтной установке Windows 7 и каким способом это достигается?

Ребята, не надо в батнике передавать пароль через пайп. Нужно просто назначить ему (batnik.bat) самому запускаться от имени админа, там и пароль забивается. По крайней мере, я имел в виду это. Если и в таком виде работать не будет (сперва проверить без автозапуска), тогда надо дальше соображать. У меня семерки нет, проверил бы сам.

А именно:Т.е., для проверки, если отключить UAC - батник отработает?
с отключенным UAC батник запускается, но не работает - не хватает прав, и не выдается запрос на ввод админского пароля
после добавления в автозагрузку ситуация та же что описывала выше - с галкой "запускать от имени админа" не запускается, без галки запускается но не хватает прав )

Добавлено через 30 минут


- видимо, финты с папкой Автозагрузка в Win7 не дадут желаемого... предлагаю попробовать прописать батник или его ярлык в ключе реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
...должно получиться, т.к. именно так производится автозапуск большинства программ при входе в систему, причём, запускаются они для всех пользователей в системе. :>
мне тоже показалось это очень логичным
и совет работает..но под админом.. под юзером всё так же:
net share d$ /delete
системная ошибка 5
Отказано в доступе


зы
какая забавная эта windows 7 :)

Тогда еще одно предложение :):
упрощаем запуск для избранных приложений при помощи планировщика заданий (запрос UAC не отображается) (http://www.oszone.net/10594/run_as_admin#400)
Только созданный ярлык поместить в автозагрузку юзера.

Тогда еще одно предложение :):
упрощаем запуск для избранных приложений при помощи планировщика заданий (запрос UAC не отображается) (http://www.oszone.net/10594/run_as_admin#400)
Только созданный ярлык поместить в автозагрузку юзера.
этот вариант я проверила сразу, еще до возни с автозагрузкой, т.к. автозагрузка показалась не слишком гибкой в настройках :smile2:
но ничего не получилось. при создании задания с повышенными правами или используя учетную запись админа, находясь при этом под юзером (обе настройки есть на этом скрине (http://www.oszone.net/figs/u/154852/091027100854/4_mini_oszone.jpg) по вашей ссылке) запрашивается пароль админа но в конце при сохранении задания вылазит многострочное сообщение с основной мыслью, мол невозможно создать задание.
если интересно как выглядит сообщение отскриню позже, сейчас виртуалки с семеркой под рукой нет

с использованием админилинка (есть по вашей же ссылке) все запускалось нормально, но... хочется более красивое решение без runas и адмилинка :smile2:

еще один странный момент - у меня неактивен пункт "выполнять эту программу от имени администратора" вот тут (http://www.oszone.net/figs/u/154852/091027100854/2.jpg)

Добавлено через 7 минут

попробую попозже добраться до семерки и проверить повнимательнее советы из вашей ссылки, у меня устойчивое ощущение, что я постоянно упускаю какой-то важный нюанс
это вполне возможно, т.к. опыта работы в Vista&7 и в частности с UAC у меня практически нет

Юльча, Если не затруднит, попробуйте cmd.exe тоже пометить, как запускаемый от имени администратора.

Юльча, Если не затруднит, попробуйте cmd.exe тоже пометить, как запускаемый от имени администратора.
если речь шла о планировщике с cmd, то под юзером, при попытке сохранить задание, выдается сообщение о котором я уже писала:
http://10pix.ru/img1/379817/1902658.gif
учетная запись и пароль правильные


без поднятия прав и под админом все сохраняется нормально

Насколько я знаю даже под ХР под обычным пользователем создавать задания в планировщике не разрешено.

под пользователем задание создается, но.. если не трогать права

Насколько я понял изначальный вопрос, речь шла не об эскалации прав в классическом понимании, а о том, что легальный полноправный юзер (с присущими семерке ограничениями, настроенными по дефолту) желает поместить в автозапуск некий батник, который должен запускаться с повышенными правами. Или мы обсуждаем разные вещи? Все, завтра снова ставлю севен :)
А создавать задание в планировщике стандартному ограниченному юзеру запретили еще чуть ли не в 2000 (или в XP без сервиспаков, уже не помню).

Рассматриваем ситуацию, когда пользователь работает под ограниченной учеткой.

Собственно, получился вот такой процесс:
1. После установки Win7 создается пользователь с административными правами, например test (по дефолту)
2. Задаем пароль для test (с пустым паролем не даст работать от имени этой учетки). Если впоследствии нужен автологон пользователя, под которым будете работать, то используем control userpasswords2
3. Создаем еще одного пользователя restrict с ограниченными правами.
4. Создаем задачу (настройка задачи, расположение батника, внутренности батника - все есть на картинках). Запуск задачи от имени пользователя test с наивысшими правами (вот где потребует ввести пароль от учетки) и вне зависимости от регистрации пользователя.
5. Создаем ярлык к этой задаче schtasks /run /tn netdel
6. Кладем его в автозагрузку пользователя restrict
7. Перезагружаем компьютер, входим под учеткой restrict - шары удалены.

Естественно, что у пользоваетля test пароль д.б. не 1234 (для вашей же безопасности).
test - учетка, созданная при установке Windows, имеет права администратора
restrict - учетка, в которой работает пользователь постоянно, ограниченная
Администратор - дефолтная учетка, отключена.

Update2.
Имеем дефолтную установку Win7 и пользователя test с административными правами (созданного при установке):
(В данном случае у меня получился удалением обратно пользователя restrict :) и сбросом пароля у пользователя test )
1. В планировщике создаем задачу netdel, батник с содержимым лежит в корне С. Настройки задачи - все по дефолту, только ставим галочку "Выполнить с наивысшими правами"
2. Создаем новый ярлык и пишем schtasks /run /tn netdel
3. Ярлык кладем в автозагрузку пользователя test
4. Перезагружаем компьютер - шары удалены.

4. Создаем задачу (настройка задачи, расположение батника, внутренности батника - все есть на картинках). Запуск задачи от имени пользователя test с наивысшими правами (вот где потребует ввести пароль от учетки) и вне зависимости от регистрации пользователя.
вот на этом этапе задача у меня не сохраняется..
да, пароль к учетке запрашивает и принимает а в итоге сохранить задачу не дает
задача создавалась с запуском от Администратора (группа Администраторы) или с наивысшими правами

Добавлено через 4 минуты

хм, или в данном случае важно не использовать учетку стандартного Администратора

Юльча,
Имеем дефолтную учетку test с административными правами. (Если пользователь имеет адм. права, то все ниж написанное к нему не относится :) - данное решение д.б. (но не проверялось) для пользователя, ограниченного в правах).
Включаем встроенного Администратора, задаем ему пароль.
Для выполнения задачи используем учетку встроенного Администратора
Ставим радиокнопку на "Выполнять вне зависимости от регистрации пользователя"
Ставим галку на "Выполнить с наивысшими правами"
Сохраняем задачу - запрашивает пароль от Администратора - вводим.
Все. Выполняем задачу - шары удалены.
Если оставить радиокнопку на "Выполнять только для зарегистрированного пользователя" - то выполнение задачи неуспешно.

я так долго топталась по удачно разложенным грабелькам ))
сенкс http://virusinfo.info/images/buttonsru/reputation.gif ), благодаря вам наконец-то нашла свою ошибку... даже две :)

Добавлено через 6 минут

нет, встроенного админа можно не трогать

моя ошибка в том, что задание нужно было создавать под админом и неважно каким, а я находилась в учетке юзера и вашу цитату прочла невдумчиво - многа букв и "намек" Torvic99 не поняла;
и разрешить выполнение задания любому пользователю (у вас на скрине это есть, на скринах с осзона - нет)

автозагрузка лишняя, в тригере планировщика можно установить "выполнять при входе в систему" любого юзера или какого-то конкретного


решение красивое, результат полностью удовлетворяет ^^


ЗЫ. был задан вопрос "а нафига закрывать админские шары?", могу предложить несколько вариантов ответа, которые по сути сводятся к одному:
потешить свою паранойю и создать видимость(?) безопасности :D

Рад за вас :)
Так, теперь еще я у себя в голове разложу по полкам :)


моя ошибка в том, что задание нужно было создавать под админом и неважно каким, а я находилась в учетке юзераТ.е. у вас в системе:
- Администратор (группа Администратор, встроенная учетка, отключена)
- Пользователь (группа Пользователи)
Все?
Далее запускаем Планировщик по правой кнопке "Запуск от имени администратора", создаем задачу с "наивысшими правами", выполнять при логоне любого пользователя. Я правильно понял? От имени какого пользователя она будет выполняться?


могу предложить несколько вариантов ответа, которые по сути сводятся к одному:
потешить свою паранойю и создать видимость(?) безопасности Мне почему-то тоже так кажется. Может конечно я что и упустил :)

Т.е. у вас в системе:
1. - Администратор (группа Администратор, встроенная учетка, отключена)
2. - Пользователь (группа Пользователи)
Все?
3. Далее запускаем Планировщик по правой кнопке "Запуск от имени администратора", создаем задачу с "наивысшими правами", выполнять при логоне любого пользователя. Я правильно понял?
4. От имени какого пользователя она будет выполняться?
1. уже да, т.к. есть другой член группы администраторы ))
2. да. юзер из группы юзеров
3. да, можно и так или находясь в учетке с админскими правами. первое удобнее
4. сама задача выполняется от имени пользователя из группы администраторы, т.е. с чьими правами и запускался планировщик и создавалось/сохранялось задание, но назначенная для выполнения нужному юзеру или всем - в зависимости от тригера

Собственно, надо ответить на вопрос пользователя :)


net share c$ /delete
net share d$ /delete
net share e$ /delete
net share admin$ /delete

Учётка админа активна.Квест :):
Если учетка, в который вы работаете, имеет административные права, то используйте второй способ из сообщения 24 (http://virusinfo.info/showpost.php?p=673814&postcount=24).
Если вы работаете в ограниченной учетке и еще есть активная учетка админа, то используйте способ из сообщения 29 (http://virusinfo.info/showpost.php?p=674106&postcount=29)
В обоих случаях настройте тригеры для срабатывания созданной задачи исходя из сообщения 27 (http://virusinfo.info/showpost.php?p=674020&postcount=27).
Ярлыки создавать не надо и в автозагрузку ничего тоже не надо пихать :)

- ну, наконец-то! решения найдены, методы описаны!
- вот только незадача, аФтАр вопроса пропал... ;)

дык мы ж не только для автора старались разобраться и найти лучшее решение, а и ради себя, и ради истины, и для будущих поколений :D

У меня возникала проблема что с ярлыка .bat файл непавельно выполнялся (не находил пути) а сам бат файл от имени администратора выполнялся замечательно, так может в автозагрузку поместить именно бат файл которому поставить постоянный запуск от админа?

сори, я новичок и незаметил второй страницы :)