問題場景描述

公司的所有電腦都加了域，防止有些不安分的員工擅自下載及安裝一些其他軟件，導(dǎo)致電腦變卡或者中毒等，所以加了域后，安裝任何軟件都由IT來安裝，但是這里涉及到一個問題，安裝的時候需要管理員密碼，但是某些軟件（不在少數(shù)），不知為何在運行時竟然需要管理員權(quán)限，例如：美圖秀秀。若該軟件使用人員較多，又不能把管理員密碼給他們，那只能由管理員手工輸入，這樣的話IT人員一天到晚就輸入密碼了。顯然，這是不可取的，那么如何解決這個問題？

較麻煩的解決方案（最能滿足要求）：Windows ADK

Windows ADK：Windows 評估和部署工具包

包含了原Microsoft Application Compatibility Toolkit，此工具包具有很多的功能，這次僅用其中的"應(yīng)用程序兼容工具"：Compatibility Administrator，執(zhí)行以后，以后在這臺電腦上登錄的所有用戶運行指定程序都不再需要管理員密碼。

下載地址

win11:https://docs.microsoft.com/zh-cn/windows-hardware/get-started/adk-install其他windows：https://docs.microsoft.com/zh-cn/windows-hardware/get-started/adk-install

步驟

下載后只需要勾選安裝?“應(yīng)用程序兼容行工具”

一、Custom Database —— New Database(右鍵) —— Create New —— Application fix

二、依次輸入程序名稱，描述，選擇程序路徑

(這里以bandicam為例，需要注意ADK安裝后分32位和64位，要和程序匹配）

三、Additional compatibility modes —— 勾選 RunAsInvoker（對于某些軟件，例如：美圖秀秀，只勾選RunAsInvoker）也可以選擇 RunAsAdmin。

四、一直下一步到完成
五、save —— 輸入名稱 —— 選擇存儲路徑

六、File —— Install

不足

1.部分軟件不支持，例如：360壁紙（小鳥壁紙）。
2.此工具未與域結(jié)合，似乎能不批量操作，只能在每臺電腦上逐一操作，如果軟件較多，人員較多，會比較費時。

補充

RunAsInvoker – 在沒有UAC提示符的情況下以父進程的特權(quán)運行應(yīng)用程序；
RunAsHighest – 運行具有用戶最高級別權(quán)限的程序（如果用戶具有管理員權(quán)限，將顯示UAC提示）；
RunAsAdmin – 以管理員身份運行應(yīng)用程序（每次都會出現(xiàn)UAC提示）。

使用RunAsTool這個工具提升權(quán)限

這個軟件可以網(wǎng)上搜索下載，打開會自動掃描本地具有管理權(quán)限的用戶，

并輸入密碼，把要運行的軟件的快捷方式直接拖過去

選擇 以管理員身份運行，之后編輯--創(chuàng)建快捷方式，用新創(chuàng)建的快捷方式打開軟件。

常用的解決方案：runas / runasspc / cpau

runas

使用 Windows 內(nèi)部命令 runas，通?？梢允褂盟鼇韴?zhí)行安裝程序，即可不用切換用戶來安裝。有關(guān) runas 命令請參考 Microsoft 官方文檔：https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/cc771525(v=ws.11)，本文只做簡要介紹。

命令參考

不足

1. 有的程序使用 runas 還是無法執(zhí)行，例如：美圖秀秀。

2. 當使用腳本時，包含 runas 的 bat 腳本中管理員賬號密碼是明文，可以使用 runasspc 進行包裝，生成 exe 從而實現(xiàn)加密。

runasspc

第三方工具，可以代替 runas，解決 runas 中賬號密碼明文問題，與 cpau 類似，會生成一個加密文本，用于存儲程序位置，帳號及密碼，且使用一個 exe 來調(diào)用該加密文件，從而以其他身份運行程序。且該軟件是有圖形界面，使用比較簡單，支持域管理員認證。

cpau

第三方工具，可以代替 runas，解決 runas 中賬號密碼明文問題，它會將程序位置，賬號及密碼，加密存儲到一個文本文件中，再調(diào)用文本文件來執(zhí)行程序。命令行模式，更方便對接其他系統(tǒng)。

命令參考

域管理員認證：
d:\cpau.exe -u 域\擁有域管理員權(quán)限的用戶 -p 密碼 -ex 程序路徑 -lwp -enc -file 加密后的文本文件存儲路徑
本機管理員認證：
d:\cpau.exe -u .\擁有本機管理員權(quán)限的用戶 -p 密碼 -ex 程序路徑 -lwp -enc -file 加密后的文本文件存儲路徑
執(zhí)行程序：
d:\CPAU.exe -dec -file 加密后的文本文件存儲路徑 -lwp

不足

1. 在使用網(wǎng)絡(luò)路徑時會有問題。

2. 有的程序，仍舊無法運行，例如：美圖秀秀。

不好的解決方案：將域用戶加入本地 administrators 組

有人說這個沒辦法解決，因為 Microsoft 或 域 并沒有提供這樣的解決方案，建議將使用該電腦的域用戶加入本地電腦的administrators 組。但是每當這個電腦換一個員工使用，并且同樣擁有這樣的軟件，那么也得將域用戶加入 administrators 組，且用戶將擁有本地電腦的所有權(quán)限，包括安裝軟件。有人又說，這個可以通過組策略或者其他方式來禁止用戶安裝軟件。但是對于一個不清楚"administrator 權(quán)限"和"普通用戶權(quán)限"的人員來說，又增加了維護的難度。在普通用戶權(quán)限上做加法更容易，還是在"administrator 權(quán)限"上做減法更容易？至少對于目前來說，個人時是不太喜歡這種方式的。

?文章來源地址http://www.zghlxwxcb.cn/news/detail-450851.html

到了這里，關(guān)于AD域允許普通用戶打開需要管理員權(quán)限的軟件的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！