@Jehudiel

Добрый день, Коллеги.

Ситуация такая, есть домен, в нем заведена учетка с правами обычного пользователя, компьютер так же располагается в домене.
Проблема заключается в том, что у пользователя откуда-то выдаются права на запуск приложений от имени администратора без ввода пароля.
Были установлены программки Admilink и возможно использована утиллита RunAs.
Перерыл инет, но не могу понять что выдает пользователю права на запуск от имени локального администратора. Потому что после удаления записей в хранилище, а так же удалении утилиты Admilink, пользователь продолжает запускать программное обеспечение из-под администратора без ввода пароля.

В группах состоит учетка с ограничение как в домене, так и на локальной машине. При этом в той же программке admilink отражается, как пользователь с ограниченными правами. А программы может запускать от имени администратора свободно.

ОС: Windows 7

За ранее благодарю за помощь.

0

@insect_87

посмотри что в группе локальных администраторов есть? какие учетки?
встроенная учетка лок админа отключена?

0

@Jehudiel

В том-то и дело, что пользователь не имеет прав администратора, потому что администратор может изменять параметры служб admilink ADGuard, а учетка не может.

И в группе локальных администраторов не состоит, встроенная учетная запись администратора выключена.

Создана учетная запись с административными правами. В которую имею доступ только я. Пользователь данные учетной записи с административной роли не знает.

Опишу детально происходящий момент.

Когда ты кликаешь правой кнопкой мышки, скажем так по cmd.exe и выбираешь в выпадающем меню строчку "Запустить приложение от имени администратора", то программа просто запускается от имени администратора. При этом логин и пароль не запрашивается, а просто стартует софт и имеет повышенные права, и так любую программу.

Я уже голову поломал, где могла собака порыться, что доменной учетке состоящей в домене в группах с ограничением и не имеющих никаких привилегий(в группе администраторы не состоит) на машине в которую происходит вход. Можно запускать софт от имени администратора.

Может в какой-то ветке реестра были прописаны данные для повышения прав? Куда копать?

0

@Max Dark

Jehudiel, UAC включен?
Пуск - " Панель управления" - Учетные записи пользователей - Включение или отключение контроля учетных записей (UAC)
должна стоять галка "Используйте контроль учетных записей"

0

@Jehudiel

Cra3y, UAC выключен, а разве гашение UACа в 7-ке играет такую роль, что любой пользователь с пониженными правами, может спокойно без введения данных учетки с административными правами получить доступ??? Интересненько.

0

@Max Dark

Да, влияет.

Добавлено через 1 минуту
Хотя, могу путать - у меня оно везде включено

1

@evgenii3000

Jehudiel, с чего уверенность что он именно с правами администратора ее запускает? он ее устанавливает? в конце концов может он пароль админа знает =) была контора в которой 5 лет пароль не меняли и ее знали все =)

0

@evgenii3000

прикрепил файл как еще можно запускать программу от имени администратора

Миниатюры

 

0

@Jehudiel

evgenii3000, С того, что пользователь имеющий ограничение в доменных политиках, и не являющийся членом группы Администраторы ни глобальной, ни локальной группы и подгруппы, имеет полномочия администратора без ввода пароля. Лично сидел под учетной записью человека. Пароль не знают они, и я не вводя его мог запускать спокойно приложения и команды, которые вносили изменения в службы и каталоги, а для внесения изменения необходимы были повышенные права - уровень Администратора.
Если эта опция включена - все правильно приложение будет запускаться от имени Администратора, но без ввода учетных данных, ты ничего не сможешь сделать. А у пользователя, ничего не выскакивало.


Данную ситуацию решил выставив уровень по умолчанию для UAC, так же сделал изменения в локальных GPO.

Тему можно закрыть или перенести в архив. Вопрос закрыт.

0

@v_svitere

Cra3y,
Да, путаете. При отключенном UAC повышение прав не произойдет. Это противоречит безопасности windows.
При запуске приложения от обычного юзера(не админа), которое требует повышенных прав, в ситуации когда UAC отключен приложении просто не запустится, при этом никакого окна аутентификации выводится на экран не будет.

0

@Jehudiel

v_svitere, как ни парадоксально, но как раз-таки этот бегунок UACа влиял на выдачу запросов, потому что после восстановления на нужный уровень, стал выскакивать запрос и все что к нему прилагается.

0

@v_svitere

Jehudiel, Хмм то о чем Вы говорите исключено, по крайней мере у меня не разу не получилось смоделировать Вашу ситуацию.
При отключенном UAC - При запуске от админа, система "Тихо" повысит права, При запуске от обычного юзера повышение прав не произойдет, НО и запросов на повышение система не выдаст.
Кстати, насколько мне известно в Винде есть определенный список доверенных приложений, которые даже при включенном UAC, из под учетки лок. админа запускаются с "тихим" повышением прав без запроса.
На мой взгляд, все-таки меняли что-то другое помимо настроек UAC.

0

@Jehudiel

v_svitere, Я не знаю, что толком было сделано, самое главное что ответ на вопрос был найден, и ситуация разрешена, пользователь с ограниченными правами не может получить повышение прав без введения соответствующих данных. А до этого все описано в первых двух сообщениях. Я уже думал сносить все настройки учетки и пересоздавать, а обошлось без "крови" всего лишь немного времени и нервов на поиски, да и ответ Крайзи дал полную картинку.

0