Использование команды Run As Administrator для получения административного доступа

Выход администраторов из системы после запуска всех рабочих станций и серверов сети часто оказывается наиболее трудно реализуемой и утомительной мерой безопасности. Если администратор забудет выйти из системы или просто ненадолго отойдет от рабочей станции, любой оказавшийся рядом может без труда проникнуть в инфраструктуру сети.

Поэтому целесообразно применять стратегию входа в систему с помощью команды Run As Administrator (Запуск от имени администратора) Windows Server 2008 R2. По существу это означает, что все пользователи, включая IT-персонал, входят в систему с ограниченны­ми стандартными учетными записями типа User (Пользователь). Когда потребуется выпол­нить административную задачу, нужное средство или исполняемый файл можно вызвать с помощью команды Run As Administrator, которая предоставляет этому средству админист­ративные возможности учетной записи. Если администратор отойдет от консоли рабочей станции, не выходя из системы, ситуация не будет опасной, поскольку консоль не предос­тавит посторонним полный доступ к сети с правами администратора.

В следующем примере показано, как из графического интерфейса вызвать с помощью команды Run As Administrator оснастку Computer Management консоли MMC.

1. Найдите (но не выбирайте) в меню Start (Пуск) пункт All Programs-Administrative Tools-Computer Management (Все программы-Администрирование-Управление компьютером).
2. Прижмите клавишу <Shift>, щелкните правой кнопкой мыши на элементе Computer Management в списке программ и выберите в контексте меню пункт Run As Different User (Запуск от имени другого пользователя).
3. В диалоговом окне Run As (Запуск от имени) выберите полномочия, с которыми не­обходимо запустить программу, и щелкните на кнопке ОК.

Кроме ручного применения Run As можно сконфигурировать компьютер админист­ратора так, чтобы при запуске административных средств каждый ярлык автоматически выполнялся от имени администратора компьютера. Например, с помощью следующих дей­ствий можно настроить оснастку Active Directory Users and Computers консоли MMC так, чтобы она всегда выполнялась с повышенными полномочиями.

1. Выберите в меню Start (Пуск) пункт All Programs-Administrative Tools (Все програм­мы-Администрирование).
2. Щелкните правой кнопкой мыши на пиктограмме Computer Management (Управление компьютером) и выберите в контекстном меню пункт Properties (Свойства).
3. На вкладке Shortcut (Ярлык) щелкните на кнопке Advanced (Дополнительно).
4. Установите флажок Run As Administrator (Запуск от имени администратора) и два раза щелкните на кнопке ОК, чтобы сохранить настройки.