Как узнать имя пользователя, который запустил данный командный файл от имени другого пользователя?

@sMario · Регистрация: 30.05.2011

Студворк — интернет-сервис помощи студентам

Вопрос задаю в ветке PowerShell, т.к. скорее его средствами, нежели средствами одного только командного файла можно нормально реализовать желаемое.

Есть батник, который может запустить любой удалённый пользователь в своей rdp-сессии, причём запускать его нужно вручную и исключительно от имени администратора. Код этого батника, для своей дальнейшей работы, должен определять имя пользователя, который инициировал его запуск от имени другого пользователя (в данном случае - от администратора).

Это легко реализовать через парсинг qwinsta, найдя там активную сессию. Но в случае, если с системой может работать одновременно несколько активных rdp-пользователей данный трюк не прокатит.

Как быть?

PS: Подразумевается, что сабж будет решаться путём вставки нужных команд PowerShell в тело командного файла.

@alpap · 17.09.2021, 23:51

Сообщение от sMario

если с системой может работать одновременно несколько активных rdp-пользователей данный трюк не прокатит

журнал - время запуска этого файла(Имя пользователя)

Добавлено через 2 часа 41 минуту

Сообщение от sMario

вставки нужных команд ... в тело командного файла

первые три работают как в cmd так и в PowerShell

PowerShell
1
2
3
4
tasklist /V /FI "ImageName eq explorer.exe" /FO List
quser
qwinsta
gcim Win32_ComputerSystem -Computer "..."|select UserName

@alpap · 19.09.2021, 00:16

Сообщение от sMario

данный трюк не прокатит

как и говорил выше - сопоставить время запуска к имени запустившего
интересно другое, а чем чревато, какие последствия в случае провала определения? Может с конца проблемы зайти?

FlasherX · 19.09.2021, 08:57

Сообщение от alpap

сопоставить время запуска к имени запустившего

Не проще SessionId брать?

PowerShell
1
((quser (gwmi -query "Select SessionId From Win32_Process where Name='winlogon.exe'").SessionId|select -skip 1) -split ' {3,}')[0].Trim('>')

@alpap · 20.09.2021, 04:52

Сообщение от FlasherX

Не проще ...

да это мало что дает
тут надо статистику запуска файла по времени (прописывать в самом файле вывод времени его запуска в лог) сравнивать с входом пользователей по RDP, надеясь что они почти сразу запускают этот файл. А вот определить четко этих пользователей не так просто. Можно из журнала: Applications ans Services Logs -> Microsoft -> Windows ->TerminalServices-RemoteConnectionManager по фильтру кода 1149, но не всегда надежно и то журнал не включен или очищен или еще что. Пробовал так еще

PowerShell
1
2
3
4
5
6
7
8
9
10
11
12
13
14
$myLog = 'Security'
$comp  = 'Имя компа'
$iId   = 4624
 
$aEv    = @()
$eventLog = New-Object System.Diagnostics.Eventlog($myLog, $comp)
$eventLog.Entries|? InstanceId -eq $iId|% {
  $oEv = [PSCustomObject][Ordered]@{
    'User' = ($_.Message -Split ',')[6].Trim().Trim("'")
    'Data' = [DateTime]$_.TimeGenerated
  }
  $aEv += $oEv
}
$aEv|Sort Data

тоже не все гладко, недостаточный поиск и тоже ненадежно
поэтому и спрашивал у ТС может как с другой стороны пробовать - поменять подход в корне ...

@sMario · 25.09.2021, 10:04 **[ТС]**

Действительно, кроме как журнал ничего больше на ум не приходит, но решение неидеальное. Пришлось отказаться от этой идеи и заходить "с другой стороны".

Спасибо за ответы!

@VECR · 28.12.2021, 16:37

Сообщение от alpap

журнал - время запуска этого файла(Имя пользователя)

Добавлено через 2 часа 41 минуту

первые три работают как в cmd так и в PowerShell

PowerShell
1
2
3
4
tasklist /V /FI "ImageName eq explorer.exe" /FO List
quser
qwinsta
gcim Win32_ComputerSystem -Computer "..."|select UserName

Я думаю, что можно это сократить до:

Windows Batch file
1
echo %UserName%

Или использовать:

Windows Batch file
1
2
set Name=%UserName%
echo %Name%

Ну с "%UserName%" можно играть довольно долго!

FlasherX · 28.12.2021, 18:40

Сообщение от VECR

Я думаю, что можно это сократить до:

Только к сабжу эта переменная среды как мёртвому припарки...

@skouzmine · 29.12.2021, 00:24

@sMario простите за несведещего как именно ваши пользователи запускают вручную и исключительно от имени администратора ,

если через
win32 api logonasuser

a.k.a.
https://docs.microsoft.com/en-... ew=net-6.0

то вот эвент 4648

4648: A logon was attempted using explicit credentials

https://www.ultimatewindowssec... 648#fields

Subject:
This is the original account that started a process or connection using new credentials.

Account Whose Credentials Were Used:
These are the new credentials.

Добавлено через 17 минут
прям так и пишет

This event is generated when a process attempts to log on an account by explicitly specifying that account’s credentials.
This most commonly occurs in batch-type configurations such as scheduled tasks, or when using the RUNAS command.

заполяет

subject

и
Account Whose Credentials Were Used

как искать евенты думаю все знают

@VECR · 29.12.2021, 10:37

Сообщение от alpap

да это мало что дает
тут надо статистику запуска файла по времени (прописывать в самом файле вывод времени его запуска в лог) сравнивать с входом пользователей по RDP, надеясь что они почти сразу запускают этот файл. А вот определить четко этих пользователей не так просто. Можно из журнала: Applications ans Services Logs -> Microsoft -> Windows ->TerminalServices-RemoteConnectionManager по фильтру кода 1149, но не всегда надежно и то журнал не включен или очищен или еще что. Пробовал так еще

PowerShell
1
2
3
4
5
6
7
8
9
10
11
12
13
14
$myLog = 'Security'
$comp  = 'Имя компа'
$iId   = 4624
 
$aEv    = @()
$eventLog = New-Object System.Diagnostics.Eventlog($myLog, $comp)
$eventLog.Entries|? InstanceId -eq $iId|% {
  $oEv = [PSCustomObject][Ordered]@{
    'User' = ($_.Message -Split ',')[6].Trim().Trim("'")
    'Data' = [DateTime]$_.TimeGenerated
  }
  $aEv += $oEv
}
$aEv|Sort Data

тоже не все гладко, недостаточный поиск и тоже ненадежно
поэтому и спрашивал у ТС может как с другой стороны пробовать - поменять подход в корне ...

Простите! А какое расширение у файла PowerShell?

@skouzmine · 29.12.2021, 18:06

вот я

C#
1
 Account Name:           sergueik

делал runas cyg_server

C#
1
        Account Name:           cyg_server

на виртуальной машине

скрипт

C#
1
2
3
4
5
6
7
8
9
$myLog = 'Security'
$comp  = '.'
$iId   = 4648
 
$aEv    = @()
$eventLog = New-Object System.Diagnostics.Eventlog($myLog, $comp)
$eventLog.Entries|where-object { $_.InstanceId -eq $iId }|select-object -first 10 |foreach-object {
write-host $_.Message
}

часть напечатанного на экране

C#
1
2
3
4
5
6
7
8
9
10
11
A logon was attempted using explicit credentials.
Subject:
        Account Name:           sergueik
        Account Domain:         sergueik42
        Logon ID:               0x154a7
        Logon GUID:             {00000000-0000-0000-0000-000000000000}
 
Account Whose Credentials Were Used:
        Account Name:           cyg_server
        Account Domain:         sergueik42
        Logon GUID:             {00000000-0000-0000-0000-000000000000}

@alpap · 29.12.2021, 20:52

skouzmine, ну не знаю, мне 4624 показалось надежнее.

@skouzmine · 29.12.2021, 22:13

alpap 4624 не содержит а 4648 содержит информации о том кто запустил runas в чем ТС заинтересован

@alpap · 30.12.2021, 15:47

да, согласен.

Новые блоги и статьи Все статьи Все блоги /
Подключение Box2D v3 к SDL3 для Android: физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	Загрузка PNG с альфа-каналом на SDL3 для Android: с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .	Загрузка PNG с альфа-каналом на SDL3 для Android: с помощью SDL3_image 8Observer8 27.01.2026 Содержание блога SDL3_image - это библиотека для загрузки и работы с изображениями. Эта пошаговая инструкция покажет, как загрузить и вывести на экран смартфона картинку с альфа-каналом, то есть с. . .
Влияние грибов на сукцессию anaschu 26.01.2026 Бифуркационные изменения массы гриба происходят тогда, когда мы уменьшаем массу компоста в 10 раз, а скорость прироста биомассы уменьшаем в три раза. Скорость прироста биомассы может уменьшаться за. . .	Воспроизведение звукового файла с помощью SDL3_mixer при касании экрана Android 8Observer8 26.01.2026 Содержание блога SDL3_mixer - это библиотека я для воспроизведения аудио. В отличие от инструкции по добавлению текста код по проигрыванию звука уже содержится в шаблоне примера. Нужно только. . .	Установка Android SDK, NDK, JDK, CMake и т.д. 8Observer8 25.01.2026 Содержание блога Перейдите по ссылке: https:/ / developer. android. com/ studio и в самом низу страницы кликните по архиву "commandlinetools-win-xxxxxx_latest. zip" Извлеките архив и вы увидите. . .	Вывод текста со шрифтом TTF на Android с помощью библиотеки SDL3_ttf 8Observer8 25.01.2026 Содержание блога Если у вас не установлены Android SDK, NDK, JDK, и т. д. то сделайте это по следующей инструкции: Установка Android SDK, NDK, JDK, CMake и т. д. Сборка примера Скачайте. . .

@sMario 0 / 0 / 0 Регистрация: 30.05.2011 Сообщений: 16

	Как узнать имя пользователя, который запустил данный командный файл от имени другого пользователя? 17.09.2021, 20:52. Показов 2386. Ответов 13 Метки нет (Все метки) Вопрос задаю в ветке PowerShell, т.к. скорее его средствами, нежели средствами одного только командного файла можно нормально реализовать желаемое. Есть батник, который может запустить любой удалённый пользователь в своей rdp-сессии, причём запускать его нужно вручную и исключительно от имени администратора. Код этого батника, для своей дальнейшей работы, должен определять имя пользователя, который инициировал его запуск от имени другого пользователя (в данном случае - от администратора). Это легко реализовать через парсинг qwinsta, найдя там активную сессию. Но в случае, если с системой может работать одновременно несколько активных rdp-пользователей данный трюк не прокатит. Как быть? PS: Подразумевается, что сабж будет решаться путём вставки нужных команд PowerShell в тело командного файла. 0

@sMario 0 / 0 / 0 Регистрация: 30.05.2011 Сообщений: 16
	25.09.2021, 10:04 [ТС]
	Действительно, кроме как журнал ничего больше на ум не приходит, но решение неидеальное. Пришлось отказаться от этой идеи и заходить "с другой стороны". Спасибо за ответы! 0

@skouzmine 505 / 158 / 49 Регистрация: 27.02.2016 Сообщений: 818
	29.12.2021, 00:24
	@sMario простите за несведещего как именно ваши пользователи запускают вручную и исключительно от имени администратора , если через win32 api logonasuser a.k.a. https://docs.microsoft.com/en-... ew=net-6.0 то вот эвент 4648 4648: A logon was attempted using explicit credentials https://www.ultimatewindowssec... 648#fields Subject: This is the original account that started a process or connection using new credentials. Account Whose Credentials Were Used: These are the new credentials. Добавлено через 17 минут прям так и пишет This event is generated when a process attempts to log on an account by explicitly specifying that account’s credentials. This most commonly occurs in batch-type configurations such as scheduled tasks, or when using the RUNAS command. заполяет subject и Account Whose Credentials Were Used как искать евенты думаю все знают 0

@alpap 4340 / 2130 / 661 Регистрация: 26.04.2015 Сообщений: 6,823
	29.12.2021, 20:52
	skouzmine, ну не знаю, мне 4624 показалось надежнее. 0

@skouzmine 505 / 158 / 49 Регистрация: 27.02.2016 Сообщений: 818
	29.12.2021, 22:13
	alpap 4624 не содержит а 4648 содержит информации о том кто запустил runas в чем ТС заинтересован 1

@alpap 4340 / 2130 / 661 Регистрация: 26.04.2015 Сообщений: 6,823
	30.12.2021, 15:47
	да, согласен. 0