Для инсталляции продукта на данный компьютер необходимо иметь права администратора

Обновлено: 07.07.2024

Программные продукты Microinvest сохраняют общепринятую концепцию работы и защиты информации. Существуют особенности при инсталляции и запуске продуктов, которые определяются самой операционной системой и которые необходимо сохранять. Настоящий материал определяет правильную стратегию для работы под администраторским или пользовательским режимами.

Содержание

Инсталляция продуктов

Инсталляция продуктов всегда должна совершаться под системным администратором. Во время установки продукты записывают важную информацию в систему и считывают системные параметры. Поэтому важно, чтобы инсталляция осуществлялась под администратором. Для различных версий Windows есть разные технологии:

Обновление продуктов

При обновлении продуктов выполняется процесс инсталляции новой версии. Поэтому необходимо сохранить правила, которые описаны в установке продуктов.

Права доступа

Для быстрой установки прав на частоиспользуемые папки и файлы необходимо вызвать Командную строку с правами администратора и выполнить все нижеуказанные запросы (можно просто вставить).

Обратите внимание, что макрос %USERNAME% автоматом заменится на пользователя, с которым запущена Командная строка. Если пользователей несколько, тогда сделайте замену %USERNAME% на имя пользователя в системе.

В регистре Windows необходимо назначить максимальные права для пользователей на следующие ветки:

  • Если Windows x64: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microinvest
  • Если Windows x86: HKEY_LOCAL_MACHINE\SOFTWARE\Microinvest
  • Если используется Microinvest Barcode Printer Pro: HKEY_CLASSES_ROOT\XSDI
  • Если используется Microinvest Data Collector: HKEY_CLASSES_ROOT\DBSEC

Особенности работы

Microinvest прилагает большие усилия для сертификации продуктов под операционную систему Windows и для сохранения правил работы, которые заложены в саму ОС. Поэтому при работе продукты не имеют специальных особенностей, которые отличаются от стандартных и хорошо знакомых приложений.

Как установить программу без прав администратора

Для установки некоторого программного обеспечения требуется наличие прав администратора. Кроме этого и сам администратор может ставить ограничение на установку различного софта. В случае когда требуется выполнить инсталляцию, а разрешения на нее нет, предлагаем воспользоваться несколькими простыми методами, описанными ниже.

Устанавливаем программу без прав администратора

В сети интернет присутствует множество различного ПО, позволяющего обходить защиту и выполнять инсталляцию программы под видом обычного пользователя. Мы не рекомендуем их использовать особенно на рабочих компьютерах, так как это может нести за собой серьезные последствия. Мы же представим безопасные способы установки. Давайте рассмотрим их подробнее.

Способ 1: Выдача прав на папку с программой

Чаще всего права администратора софту требуются в том случае, когда будут проводиться действия с файлами в своей папке, например, на системном разделе жесткого диска. Владелец может предоставить полные права другим юзерам на определенные папки, что позволит выполнять дальнейшую установку под логином обычного пользователя. Делается это следующим образом:

  1. Войдите в систему через учетную запись администратора. Подробнее о том, как это сделать в Виндовс 7 читайте в нашей статье по ссылке ниже.

Свойства папки Windows 7

Настройки безопасности папки в Windows 7

Настройки безопасности папки в Windows 7

Теперь во время установки программы вам потребуется указать папку, к которой предоставили полный доступ, и весь процесс должен пройти успешно.

Способ 2: Запуск программы с учетной записи обычного пользователя

В тех случаях когда нет возможности попросить администратора предоставить права доступа, рекомендуем воспользоваться встроенным в Windows решением. С помощью утилиты через командную строку осуществляются все действия. От вас требуется только следовать инструкции:

    Откройте «Выполнить» нажатием горячей клавиши Win + R. Введите в строку поиска cmd и нажмите «ОК»

Запуск командной строки в Windows 7

runas /user:User_Name\administrator Program_Name.exe

Ввод команды в командную строку Windows 7

Способ 3: Использование портативной версии программы

Некоторое ПО имеет портативную версию, не требующую установки. Вам будет достаточно скачать ее с официального сайта разработчика и запустить. Выполнить это можно очень просто:

  1. Перейдите на официальный сайт необходимой программы и откройте страницу загрузки.
  2. Начните загрузку файла с подписью «Portable».

Поиск портативной версии программы

Запуск портaтивной версии программы

Вы можете перекинуть файл софта на любое съемное устройство хранения информации и запускать его на разных компьютерах без прав администратора.

Сегодня мы рассмотрели несколько простых способов как установить и использовать различные программы без прав администратора. Все они не сложные, но требуют выполнения определенных действий. Мы же рекомендуем для установки софта просто войти в систему с учетной записи администратора, если это доступно. Подробнее об этом читайте в нашей статье по ссылке ниже.

Закрыть

Мы рады, что смогли помочь Вам в решении проблемы.

Отблагодарите автора, поделитесь статьей в социальных сетях.

Закрыть

Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.

Описание проблемы

Я работаю в очень крупной организации, и поэтому у нас легко привлекают для каких-то работ подрядчиков. Появилась задача модернизировать сервис Directum, это такой документооборот. Нашли подрядчика, создали для него виртуальную машину и выдали полные административные права. Через какое-то время подрядчик обратился с проблемой, что у него нет прав на установку программ и он получал ошибку:

Для установки клиентской части системы DIRECTUM необходимо запустить инсталлятор от имени администратора

Необходимо запустить инсталлятор от имени администратора

В английском варианте это выглядит вот так:

You must be logged in as an administrator when installing this program

You must be logged in as an administrator when installing this programm

В качестве операционной системы выступает Windows 10 1909.

Просмотр свойств системы Windows 10

Наверняка многие скажут, так щелкните просто правым кликом по файлу и выберите пункт "Запуск от имени администратора". Сказано, сделано. Как видите у MSI файла просто этот пункт будет отсутствовать.

Свойства MSI файла

Попробуем зажать клавишу Shift и выбрать из меню пункт "Запуск от имени другого пользователя".

Запуск MSI от имени другого пользователя

Даже обладая так же административными правами на данной системе вы получите ошибку:

Windows не удалось получить доступ к указанному устройству, пути или файлу. Возможно, у вас нет нужных разрешений для доступа к данному объекту

Windows не удалось получить доступ к указанному устройству, пути или файлу. Возможно, у вас нет нужных разрешений для доступа к данному объекту

Как обойти ошибку "Необходимо запустить инсталлятор от имени администратора"

Самый простой и действенный метод, который я использую в своей практике, это запуск командной строки или оболочки PowerShell в режиме администратора. Благодаря этому методу вы обойдете ограничение на запуск MSI пакетов в режиме администратора. Далее, когда вы запустили, например командную строку, вам необходимо перейти в каталог, где лежит ваш MSI пакет. В моем примере, это папка C:\Share. Выполним команду:

Командой dir мы выведем содержимое каталога.

Как обойти ошибку "Необходимо запустить инсталлятор от имени администратора"

Запускаем ваш MSI пакет.

В PowerShell это просто .\имя.MSI в cmd это просто имя.MSI

Как видите, теперь ошибка "You must be logged in as an administrator when installing this program" не появилась и наш дистрибутив готов к дальнейшей установке.

Запуск MSI пакета в PowerShell

Установка MSI через msiexec

Есть такая утилита командной строки msiexec, если вы ее запустите со специальным ключом, то она сразу установит MSI пакет, вам даже не нужно запускать командную строку в режиме администратора, для этого есть ключ /a. Выполните команду в cmd, PowerShell или вообще окне выполнить.

msiexec /a C:\Share\Client.msi (Где C:\Share\Client.msi путь до вашего MSI)

Установка MSI через msiexec

Добавление пункта Install as Administrator

Еще у вас есть возможность внести изменение в реестр Windows и добавить в принудительном порядке пункт "Install as Administrator" для MSI пакетов. Для этого вы можете скачать у меня готовый reg файл или создать собственный вот с таким содержимым:

[HKEY_CLASSES_ROOT\Msi.Package\shell\runas]
@="Install &As Administrator. "

[HKEY_CLASSES_ROOT\Msi.Package\shell\runas\command]
@="msiexec /i \"%1\""

Далее запускаем его и соглашаемся с внесением изменений.

Добавление через реестр пункта Install as Administrator для MSI

Теперь у вас при правом клике по MSI пакету, будет высвечиваться пункт "Install as Administrator"


К сожалению, в работе сисадмина нет-нет да и приходится разрешать пользователям запускать всякий софт с админскими правами. Чаще всего это какие-нибудь странные китайские программы для работы с оборудованием. Но бывают и другие ситуации вроде небезызвестного bnk.exe.

Выдавать пользователю права администратора, чтобы решить проблему быстро и просто, противоречит нормам инфобезопасности. Можно, конечно, дать ему отдельный компьютер и поместить в изолированную сеть, но — это дорого и вообще…

Попробуем разобрать решения, которые позволят и программу запустить, и безопасника с финансистом не обозлить.

Программа может запрашивать права администратора условно в двух случаях:

  1. Когда хочет получить доступ туда, куда «простым смертным» нельзя: например, создавать файлы в системных каталогах.
  2. Когда программу скомпилировали со специальным флагом «Требовать права администратора».

С первым случаем все понятно: берем в руки замечательную программу Марка Руссиновича Process Monitor, смотрим, что происходит, и куда программа пытается залезть:


Куда это лезет этот 7Zip?

И по результатам исследования выдаем права пользователю на нужный каталог или ветку реестра.

Сложнее, если случай клинический, и так просто выдать права не получится: например, программа требует сильного вмешательства в работу системы вроде установки драйверов. Тогда придется придумывать всякий колхоз, про который речь пойдет в последнем разделе статьи. Пока подробнее освещу второй случай — когда стоит флажок.

Если сильно упростить, то в специальном манифесте программы (к слову, установщики — это тоже программы) могут быть три варианта запуска:

  • asInvoker. Программа запускается с теми же правами, что и породивший ее процесс (как правило, это explorer.exe c правами пользователя);
  • highestAvailable. Программа попросит максимально доступные пользователю права (у администратора появится окно с запросом повышения UAC, у пользователя — нет);
  • requireAdministrator. Программа будет требовать права администратора в любом случае.

Если разработчик твердо решил требовать права администратора, даже если они не нужны, то обойти это можно малой кровью.

В системе Windows, начиная с Vista, появилась служба UAC, которая помимо прочего отвечает за запросы программ на повышение прав. Не все программы «переваривали» работу с этой службой. Поэтому в системе был доработан механизм совместимости приложений, позволяющий прямо задать программе ее поведение — запрашивать права или нет.

Простейшим вариантом работы с этим механизмом будет использование переменных среды.

Рассмотрим пример с редактором реестра. Действительно, запуская regedit.exe под администратором, мы получаем запрос на повышение прав:


Запрос повышение прав.

Если же мы запустим редактор реестра из консоли, предварительно поменяв значение переменной среды __COMPAT_LAYER на:

То запроса UAC не будет, как и административных прав у приложения:


Бесправный редактор реестра.

Этим можно пользоваться, запуская программы батниками или добавляя контекстное меню через реестр. Подробнее читайте в материале How to Run Program without Admin Privileges and to Bypass UAC Prompt?

Поскольку ярлычками тут обойтись не выйдет, ведь 1С сама скачивает файл и запускает его, то придется применять тяжелую артиллерию — Microsoft Application Compatibility Toolkit.

Документация к ПО, как обычно, доступна на официальном сайте, загрузить можно как часть Windows Assessment and Deployment Kit. Сам процесс решения проблемы несложен.

Необходимо поставить утилиту, запустить Compatibility Administrator и создать Application Fix в новой или имеющейся базе данных:


Создаем исправление приложения.

Имя и издатель значения не имеют. Имеет значение только расположение файла — тут нужно указать реальный проблемный bnk.exe (где он будет лежать на самом деле — не важно).

Далее необходимо в списке исправлений выбрать RunAsInvoker.


Выбираем нужный фикс.

Все остальное оставляем по умолчанию, сохраняем базу данных. Должно получиться примерно так:


Созданный фикс для bnk.exe.

После этого достаточно будет установить базу данных, щелкнув по ней правой кнопкой и выбрав Install. Теперь пользователи смогут сами грузить классификаторы банков.

Все становится хуже, если приложению действительно нужны права админа. Тогда добавление прав на системные объекты и исправления не помогают.

Казалось бы, самым очевидным решением для запуска нашего странного ПО выглядит использование встроенной утилиты Runas. Документация доступна на сайте Microsoft.

Ну, посмотрим, что из этого выйдет.

Действительно, RunAs запустит 7zip с правами учетной записи «Администратор», спросит пароль и запомнит его. Потом ярлык с такой строкой запуска будет запускать 7zip под Администратором без вопросов.


)

Есть один существенный недостаток: пароль запоминается на уровне системы, и теперь, используя команду Runas, можно будет запускать абсолютно любую программу. Это мало чем отличается от прямого предоставления админских прав сотрудникам, так что использовать это решение не стоит.

Зато runas может быть полезен, когда сотрудник знает пароль администратора, но работает под ограниченной учетной записью (по идее так должен делать каждый системный администратор).

Если мы начали с консольных команд, то перейдем к более высокоуровневым скриптам. Интересное решение было предложено в статье «Планктонная Windows», где упомянутый выше Runas обвязывался js-скриптом и пропускался через обфускатор. У решения есть и очевидный минус — скрипт можно раскодировать.

Чуть более интересным методом в 2к20 являются возможности PowerShell и его работа с паролями. Подробнее можно почитать в материале «Защита и шифрование паролей в скриптах PowerShell».

Если вкратце: в PS работа с паролями производится через специальный тип данных SecureString и объект PSCredential. Например, можно ввести пароль интерактивно:

Затем сохранить пароль в зашифрованном виде в файл:

И теперь использовать этот файл для неинтерактивной работы:

К сожалению, файл этот можно использовать только на том ПК, на котором его создали. Чтобы этого избежать, можно сделать отдельный ключ шифрования. Например так:

Теперь при помощи этого ключа пароль можно зашифровать:

К сожалению, с безопасностью дела обстоят так же печально: утащить пароль не составляет трудностей, если есть доступ к файлу с ключом шифрования и зашифрованным паролем. Да, можно добавить обфускации и скомпилировать скрипт в .exe вместе с нужными файлами. Но нужно понимать, что это — полумеры.

В свое время я использовал для решения подобных задач свой любимый AutoIt, где компилировал скрипт с командой RunAs и радовался… До тех пор, пока не узнал, что AutoIt (особенно старых версий) декомпилируется на раз-два.

Другим интересным вариантом может быть применение назначенных заданий — если создать назначенное задание от админского аккаунта, пользователю для работы будет достаточно его запуска. К сожалению, для интерактивной работы с приложением это решение не подходит.

На свете существует несколько сторонних решений, призванных решить задачу. Остановлюсь на парочке из них.

Пожалуй, одна из самых известных утилит — это AdmiLink, разработанная Алексеем Курякиным для нужд ядерной физики. Программа и принципы ее работы описаны на официальном сайте. Я, как обычно, позволю себе более краткое описание.

Программа состоит из трех модулей. AdmiLink — это графическое окно, где можно создать ярлык на нужное приложение (в принципе, в ряде случаев достаточно только его).


Основное окно программы.

Помимо непосредственно создания ярлыка (и да, запрос UAC тоже можно подавлять), есть и дополнительные функции вроде калькулятора, терминала и удобных настроек политик безопасности. Со всеми возможностями программы читателю предлагается разобраться самостоятельно.

Второй модуль называется AdmiRun и представляет из себя консольную утилиту. Она умеет запускать приложения от имени администратора, получив в качестве одного из параметров строку, созданную через AdmiLink. В строке шифруется имя пользователя и пароль, при этом участвует и путь к программе.

На первый взгляд все выглядит безопасно, но, к сожалению, код программ закрыт, и насколько можно доверять разработчику — вопрос.

Третий модуль — AdmiLaunch — отвечает за запуск окон в разных режимах, и он используется для запуска AdmiRun, если создавать ярлык через AdmiLink.

В целом, решение проверено годами и поколениями отечественных системных администраторов. Но добавлю и альтернативу из-за рубежа.

RunAsRob — довольно интересное ПО за авторством немецкого разработчика Оливера Хессинга (Oliver Hessing). В отличие от AdmiLink, ПО устанавливается как служба, запускаемая под привилегированной учетной записью (администратора или системы). Как следствие, подготовленный ярлык обращается к службе, которая уже в свою очередь запускает заданное ПО.

Особенность программы в том, что есть возможность авторизовать не только программы, но и папки (включая сетевые). А хранение настроек в реестре позволило добавить шаблоны групповых политик, примерно как мы писали в статье «Погружение в шаблоны и приручение GPO Windows». Благодаря этому при необходимости настройки можно применять прямо из Active Directory.


Основное окно программы.

Программа богато документирована на официальном сайте.

У этого автора есть еще и программа RunAsSpc, позволяющая запускать исполняемые файлы под правами другого пользователя, передавая учетные данные через зашифрованный файл.

Мне остается только добавить, что это ПО бесплатно только для личного использования.

Но учтите, что из программы, запущенной под административными правами, можно натворить бед. Например, запустить привилегированную командную консоль через диалог Файл — Открыть.


Запускаем cmd.exe прямо из редактора реестра.

Немного защититься помогут политики запрета контекстного меню и прочих диспетчеров задач, часть из которых может настроить AdmiLink. Но в любом случае следует быть осторожным.

А вам приходилось городить странные костыли? Предлагаю делиться историями в комментариях.

Установка игр и приложений – это процесс, знакомый каждому владельцу ПК. Обычно инсталляция происходит через запуск EXE-файла, и вот здесь у пользователя могут возникнуть проблемы. Инсталлятор попросит выдать расширенные права, которых у текущего аккаунта может не быть. Поэтому важно понимать, как установить программу без прав администратора на операционной системе Windows 10.

Зачем обычному приложению могут понадобиться права администратора?

После первого включения компьютер предлагает владельцу создать несколько учетных записей. Главная из них обладает правами администратора, и этот пользователь может вносить любые изменения в работу ПК. Но зачем подобного рода разрешения требуются безобидной программе или игре?

screenshot_1

Ответ на поставленный вопрос прост: расширенные полномочия требуются в том случае, если программа установлена на системный диск, где хранятся файлы ОС. В подобной ситуации обычному пользователю запрещается вносить изменения в логи и конфигурацию, а потому софт запрашивает административные права.

Как установить программу без прав администратора

Чаще всего пользователям для обхода административных прав предлагается загрузить специальное приложение. Но такие программы являются опасными для компьютера, а потому данный способ лучше сразу обойти стороной и рассмотреть альтернативные варианты, обозначенные ниже.

screenshot_2

Выдача прав на папку с программой

Во-первых, вы можете изменить параметры безопасности для каталога, в который будете устанавливать игру или программу. Обычно речь идет о директории «Program Files». Но вы можете использовать для инсталляции и другую папку, так что действуйте аккуратно:

  • Войдите в учетную запись администратора.
  • Запустите проводник.
  • Найдите папку «program Files».
  • Кликните по ней ПКМ.
  • Перейдите в «Свойства».

screenshot_3

  • Во вкладке «Безопасность» нажмите на кнопку «Изменить».

screenshot_4

  • Поставьте галочку напротив пункта «Полный доступ».
  • Сохраните новые настройки.

screenshot_5

Теперь для запуска и установки приложения через папку «Program Files» расширенные полномочия требоваться не будут. Но это не касается других каталогов, включая «Program Files (x86), в связи с чем рекомендуется еще раз проверить правильность выбора директории.

Запуск программы с учетной записи обычного пользователя

Если вы не можете получить доступ к административному аккаунту, то можете обойти ограничения через «Командную строку»:

  • Щелкните ПКМ по значку «Пуск».
  • Запустите КС.

screenshot_6

  • Введите запрос «runas /user:User_Name\administrator Program_Name.exe», где вместо «User_Name» будет указано название вашего профиля, а вместо «Program_Name.exe» установочный файл или файл запуска.
  • Нажмите на клавишу «Enter».

screenshot_7

Windows 10 предполагает, что пользователь без опыта не сможет воспользоваться командной строкой, а потому дает такую возможность изменения прав. Но, как вы могли убедиться, выполнить пару-тройку несложных шагов может любой владелец ПК.

Использование портативной версии программы

Наконец, помните, что существуют так называемые портативные версии программ. Это уже установленные приложения, которые можно запустить без предварительной инсталляции. Они загружаются в виде отдельной папки с распакованными файлами, необходимыми для дальнейшей работы.

На заметку. Портативные версии ПО имеют в своем названии пометку «Portable».

screenshot_8

Попробуйте найти интересующую программу именно в таком виде и запустите ее привычным способом без помощи административного аккаунта. Просто дважды кликните ЛКМ по EXE-файлу, и прога откроется.

Читайте также: