» Можно ли создать пользователя с правами админа, ...

WindowsXP SP2.
Цель: иметь возможность запускать некоторые задачи с правами администратора, но не иметь возможности войти на комп с админскими правами.

start>run>cmd

runas /noprofile /user:mydomain\superadmin command

kot666
hh spolsconcepts.chm::/537.htm

Цитата:

Отклонить локальный вход
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя

Описание
Определяет, каким пользователям запрещается вход в систему на данном компьютере. Эта политика отменяет политику Локальный вход в систему, если учетная запись пользователя контролируется обеими политиками.

По умолчанию: не определен.

kentavr
Это я знаю. Не совсем об этом вопрос.
SPV_Ed
С этим и ковырялся, не получилось.
Если создать пользователя и не включать его ни в одну группу, то всё как надо, только прав админских нет. То есть:
1. Нельзя залогониться на комп, так как пользователя нет в "Log on locally".
2. Можно с этим пользователем сделать "run as ...".

Но мне нужны админские права, так что по-любому придётся пихать его в группу "Administators", а эта группа есть в списке "Log on locally". Таким образом становится доступен локальный вход.
Если этого пользователя добавить в "Deny logon locally", то "run as ..." с ним уже не работает! =/

kot666
Чтобы пользователь работал на рабочей станции без административных прав, имел возможность запускать runas под учётной записью с правами локального администратора, но не вводил руками и не знал необходимый для этого пароль локального администратора, задача сводится к тому, чтобы ввести учётные данные локального администратора Вашими силами, а пользователь будет просто запускать какой-то ярлык, не вводя никаких административных паролей. Правильно?

Если да, тогда можно использовать runas с ключём /savecred, либо Task Scheduler, либо любой другой аналог, позволяющий сохранять параметры учётной записи, под которой он запускает задачу. Недавно соответствующие средства обсуждались: см. http://forum.ru-board.com/topic.cgi?forum=8&topic=23363&start=0#14

Если автоматизировать вводить логина/пароля невозможно (хотя трудно представить такую ситуацию), можно создать отдельную учётную запись администратора, для которой установлен Deny logon locally, но разрешён Log on as a batch job и запускать соответствующие задачи командными файлами.

А ещё - можно ничего не громоздить, а просто назначить пользователю-не администратору выполнять только определённые действия, которые планируется делать через runas, посредством управления правами через групповую политику, NTFS и реестр.

Задачи скрыть пароль не стоит.
Люди, которым этот пароль будет доверен, достаточно "подкованные" инженеры. У них есть необходимость постоянно ставить специализированные программы для управления диагностическим оборудованием, так как они постоянно обновляются. Давать и отнимать у них админские права я уже подустал.
Но хочется избавить их от соблазна "сидеть" под админом постоянно. Точнее заблокировать такую возможность.

Цитата:

можно создать отдельную учётную запись администратора, для которой установлен Deny logon locally, но разрешён Log on as a batch job и запускать соответствующие задачи командными файлами.

Именно в такой комбинации я и пытался реализвать эту задачу. Не работает! =(

Цитата:

>runas /noprofile /user:xxxxxxx\test explorer.exe
Enter the password for xxxxxxx\test:
Attempting to start explorer.exe as user "xxxxxxx\test" ...
RUNAS ERROR: Unable to run - explorer.exe
1385: Logon failure: the user has not been granted the requested logon type at this computer.

test состоит в группе "пользователи" и "администраторы", и внесён в списки "Deny logon locally", "Log on as a batch job".

Похоже задача неразрешима. Жаль. =(

kot666

Цитата:

Похоже задача неразрешима.

Разрешима, конечно! Просто нужно найти сочетание установок политики. Если нет терпения это делать, Вам поможет реализация unix'овского sudo под Windows - sudowin http://sudowin.sourceforge.net/. sudo - наделение пользователя без административных прав возможностью решать задачи, требующие таковых, без административных credentials, только на основе своего логина/пароля. Напишите отзыв, если всё получится, интересно же!