Утилита RunAs для безопасного удаленного администрирования Windows
Все привет сегодня расскажу про утилиту RunAs для безопасного удаленного администрирования Windows.
Одна из самых непротиворечивых концепций безопасности гласит, что без крайней необходимости работать под учетной записью администратора не следует. Особенно под учетной записью администратора домена. Однако, решение административных задач, требующих повышенных привилегий, эта концепция не отменяет. Удаленный доступ к серверу через Remote Desktop – это лишние телодвижения, да и, опять же, небезопасно. Наиболее подходящий путь – локальный запуск нужных оснасток управления с использованием команды RunAs, которая позволяет администратору выполнять любые задачи в системе, зарегистрировавшись в ней с использованием учетной записи рядового пользователя.
Для управления удаленными серверами Windows я использую пакеты Administrative Toolsдля своей клиентской ОС. Они доступны для загрузки с сайта Microsoft.
Установив соответствующий вашей системе пакет администрирования, вы получите доступ прямо со своего компьютера к большинству оснасток управления серверами, таких как Active Directory Domains and Trusts, Active Directory Sites and Services, Active Directory Users and Computers, Distributed File System, DNS, Group Policy Editor, DHCP и пр.
Для запуска любой из оснасток с привилегиями доменного администратора, применим командуRunAs. Например, запустим оснастку Active Directory Users and Computers от имени пользователя admin, принадлежащего к домену domain.ru:
Синтаксис RunAs достаточно прост, чаще всего с ней используются следующие ключи:
1) /user – имя пользователя;
2) /netonly – использование полномочий только для доступа к удаленным ресурсам;
3) /env – использование текущего окружения, без создания окружения, характерного для указанного ключем /user пользователя;
4) /profile – загрузка профиля пользователя;
5) /noprofile – загрузка профиля пользователя не будет осуществляться.
По аналогии можно запускать любую из оснасток, входящих в состав Administration Tools:
Active Directory Domains and Trusts — domain.msc
Active Directory Sites and Services — dssite.msc
Active Directory Users and Computers — dsa.msc
Computer Management — compmgmt.msc
Distributed File System — dfsgui.msc
DNS — dnsmgmt.msc
DHCP – dhcpmgmt.msc
Group Policy Editor — gpedit.msc
Local Security Settings — secpol.msc
Routing and Remote Access — rrasmgmt.msc
Посмотреть полный список оснасток можно тут.
Материал сайта pyatilistnik.org