Использование команды Run As Administrator для получения административного доступа
Выход администраторов из системы после запуска всех рабочих станций и серверов сети часто оказывается наиболее трудно реализуемой и утомительной мерой безопасности. Если администратор забудет выйти из системы или просто ненадолго отойдет от рабочей станции, любой оказавшийся рядом может без труда проникнуть в инфраструктуру сети.
Поэтому целесообразно применять стратегию входа в систему с помощью команды Run As Administrator (Запуск от имени администратора) Windows Server 2008 R2. По существу это означает, что все пользователи, включая IT-персонал, входят в систему с ограниченными стандартными учетными записями типа User (Пользователь). Когда потребуется выполнить административную задачу, нужное средство или исполняемый файл можно вызвать с помощью команды Run As Administrator, которая предоставляет этому средству административные возможности учетной записи. Если администратор отойдет от консоли рабочей станции, не выходя из системы, ситуация не будет опасной, поскольку консоль не предоставит посторонним полный доступ к сети с правами администратора.
В следующем примере показано, как из графического интерфейса вызвать с помощью команды Run As Administrator оснастку Computer Management консоли MMC.
- Найдите (но не выбирайте) в меню Start (Пуск) пункт All Programs-Administrative Tools-Computer Management (Все программы-Администрирование-Управление компьютером).
- Прижмите клавишу <Shift>, щелкните правой кнопкой мыши на элементе Computer Management в списке программ и выберите в контексте меню пункт Run As Different User (Запуск от имени другого пользователя).
- В диалоговом окне Run As (Запуск от имени) выберите полномочия, с которыми необходимо запустить программу, и щелкните на кнопке ОК.
Кроме ручного применения Run As можно сконфигурировать компьютер администратора так, чтобы при запуске административных средств каждый ярлык автоматически выполнялся от имени администратора компьютера. Например, с помощью следующих действий можно настроить оснастку Active Directory Users and Computers консоли MMC так, чтобы она всегда выполнялась с повышенными полномочиями.
- Выберите в меню Start (Пуск) пункт All Programs-Administrative Tools (Все программы-Администрирование).
- Щелкните правой кнопкой мыши на пиктограмме Computer Management (Управление компьютером) и выберите в контекстном меню пункт Properties (Свойства).
- На вкладке Shortcut (Ярлык) щелкните на кнопке Advanced (Дополнительно).
- Установите флажок Run As Administrator (Запуск от имени администратора) и два раза щелкните на кнопке ОК, чтобы сохранить настройки.