域普通用户临时提升权限

我的实验：域普通用户临时提升权限（总结）

1、临时提升权限的目的。

A、域普通用户安装管理员发布的软件（比如使用zap发布）。

B、完成管理权限才能完成的安全设置（比如调用一些命令，完成一些安全配置）。

2、临时提升权限的方法（3种）

A、runas.exe法：这个小软件是win2000以上的系统自带的，一般存放在system32文件夹下。当你按住shift键，点右键，选择“运行方式 ...”的时候，其实调用的就是这个命令。RUNAS的用法很简单：

RUNAS [/profile] [/env] [/netonly] /user:program

/profile 如果需要加载用户的配置文件

/env 要使用当前环境，而不是用户的环境。

/netonly 只在指定的凭据限于远程访问的情况下才使用

/user 应使用 USER@DOMAIN 或 DOMAIN\USER形式

program EXE. 的命令行。

参阅下面的例子

例如:

> runas /profile/user:mymachine\administrator cmd

> runas /profile /env /user:mydomain\admin"mmc %windir%\system32\dsa.msc"

总结：这个软件用着不太爽，因为每次都要输入密码，不太方便。大家不学也罢。

B、cpau.exe法：这个软件解决了runas.exe每次要输入密码的麻烦。Cpau.exe使用方法：

CPAU -u user [-p password] -ex"WhatToRun" [switches]（扩展功能很多，这里介绍的只是基本方法）

-u 执行该任务的用户名，域环境需要全称如：domain\administrator

-p 该用户的密码，如果没有此开关，回车后要求输密码(不可见）

-ex 需要执行的程序，对于有空格出现的路径，建议加双引号，如 "c:\Program Files\qq.exe"

-lwp或-lwop 如果是本地账户，必须使用此开关才能交互式认证。

举例： CPAU -u administrator -p 123456 -ex CMD -lwp 管理模式下的命令行

CPAU -u administrator -p 123456 -ex"cscript e:\lock.vbs" -lwp 运行脚本

我实验中是这样使用的，在域策略中发布相应的软件，以zap为例：

[application]

friendlyname="搜狗拼音输入法"

setupcommand="\\192.168.0.221\soft$\tools\cpau.exe-u yft.com\administrator -p abc#123 -ex"\\192.168.0.221\soft$\sogou_pinyin.exe" -lwp -hide"

[ext]

arj=

lzh=

备注：主要命令是调用\\192.168.0.221\soft$\tools\下的cpau.exe软件，以用户名为yft.com\administrator域管理员，密码为abc#123，打开\\192.168.0.221\soft$\sogou_pinyin.exe这个软件安装。其它均为zap的格式，不变即可。

顺便再给大家介绍一下另外一个命令：lsrunas.exe（后面介绍的命令和这个很像，大家注意哟）

Lsrunas.exe /user:(用户)/password:(密码) /domain(域名) /command:(程序) /runpath:(程序启动的路径 )

所有的参数必须齐全，其中： user 为运行的账号password 为密码密文（lsrunas则使用的为明文） domain 为机器名或域名，也可留空代表本机command 为要运行的程序名，如果携带参数需要在命令的首尾加引号 runpath 为程序启动的路径

[application]

friendlyname="搜狗拼音输入法"

setupcommand="\\192.168.0.221\soft$\tools\lsrunas.exe/user:administrator /password:abc#123 /domain:yft.com /command:"\\192.168.0.221\soft$\sogou_pinyin.exe " /runpath:c:\windows\system32"

[ext]

arj=

lzh=

注意：上面两个实例相信大家都能看懂。但是有一个小小的安全问题，就是不管使用哪个件都需要在命令中直接使用密码明文，给整个网络带来安全引患。如何解决这个问题呢？来看看我们下面的命令吧。

C、Lsrunase.exe法：（接近完美的解决方案）（这个命令与上个命令多一个E大家注意）

Lsrunase.exe可以让密码可入成密文，如何将密码转换成密文呢？我们可以使用lsencrypt.exe这个小软件将正常密码转换成密文，是不是很神奇，嘎嘎。我们先看看用法：

Lsrunase.exe/user:(用户) /password:(密码) /domain(域名) /command:(程序) /runpath:(程序启动的路径 )

所有的参数必须齐全，其中： user 为运行的账号password 为密码密文（lsrunas则使用的为明文） domain 为机器名或域名，也可留空代表本机command 为要运行的程序名，如果携带参数需要在命令的首尾加引号 runpath 为程序启动的路径

Zap实例：

[application]

friendlyname="搜狗拼音输入法"

setupcommand="\\192.168.0.221\soft$\tools\lsrunase.exe /user:administrator /password: 7F1zzKdcrQ==/domain:yft.com /command:" \\192.168.0.221\soft$\sogou_pinyin.exe "/runpath:c:\windows\system32 "

[ext]

arj=

lzh=

备注：看看这回你们看不懂我的密码是什么了吧，目的达到了。其实上面的其它工具也可以达到，只是使用比较麻烦，没有这个方便，所以我推荐大家使用lsrunase.exe这个软件。

3、理解了以上域策发布方式，我们是不是又有其它很多想法了呢？比如说在电脑启动的时候做一些安全设置，比如根据用户禁用光盘，更改本地管理密码，停用防火墙等等。（你可能会说这配置不是在策略里有吗？但是你肯定没办法根据用户来设置）

例：公司要求所有员工使用域普通用户权限登录计算机，且同一台电脑根据用户权限是否可以使用光驱。

我的实现方法是：先建立一个禁止用驱的bat文件。取名：cdrom-disable.bat里面的内容为：

@echo off

\\192.168.0.221\soft$\tools\devcon.exe /disable*cdrom*

@echo on

再建立一个调用这个文件bat文件。取名cdrom-dis.bat里面的内容为：

\\192.168.0.221\soft$\tools\cpau.exe-u yft.com\administrator -p abc#123 -ex "\\192.168.0.221\soft$\tools\cdrom-disable.bat"-lwp -hide

然后添加用户策略，让用户在登录的时候运行cdrom-dis.bat由此调用cdrom-disable.bat完成公司要求。

全文总结：以上只是我个人的思路和理解，也许有很多不足的地方，也许您还有更好的方法，那就让我们一起进步吧。QQ:21584379

转载于:https://blog.51cto.com/263784/1298089