Cum sa nu te chinui cu RunAs pe Windows XP
De cand cu Windows Vista si 7, RunAs e un subiect de care lumea a inceput sa uite. Totusi multi dintre noi inca folosesc XP la greu iar de curand a trebuit sa ofer ceva consultanta intr-un scenariu cu multe XP-uri. Bineinteles, cel mai greu lucru e sa dezveti userii sa ruleze de pe cont de admin.
Usor de spus, dar greu de facut in real world. Nici macar eu nu imi dau seama cateodata cat de greu poate fi. Din postura de domain admin vezi lucrurile diferit. Cam orice admin pe care il stiu, pardon … sa extind putin: cam orice om de IT pe care il stiu ruleaza ca admin macar pe calculatorul lui. Nu, nu folosim contul de “domain admin” pentru taskurile de rutina, ci doar un cont care este admin local pe masina pe care lucarm in fiecare zi. Faza cu admin-ul local ne ofera o oarecare comoditate si flexibilitate de care avem nevoie pentru a lucra cat mai eficient. Si din cauza ca suntem admini locali, nici nu ajungem sa folosim RunAs. Pentru ca daca avem nevoie sa rulam ceva folosind un cont de domain admin, ne conectam direct pe un server cu acele credentiale. Si conceptul asta e valabil in continuare si la Windows Vista si 7.
Acum hai sa privim si in partea cealalta, acolo unde este nevoie de RunAs. La user-ul care nu lucreaza in IT e nevoie de RunAs. Dar o sa faca el RunAs? LOL. Daca ii zici de asa ceva o sa zica ca il injuri. Omul de la IT Support, Helpdesk, Deskside Support sau cum vreti voi sa-i spuneti o sa fie nevoit sa foloseasca RunAs pe statia userului.
Luam cel mai simplu scenariu. Suna userul si spune ca nu poate sa deschide un anume tip de fisier. ITstul se uite si vede ca e nevoie sa instaleze aplicatia care deschide acel fisier. Are mai multe variante:
a. ruleaza setup-ul aplicatiei folosind RunAs si un cont de admin.
b. logoff, logon cu un cont de admin local (userul Administrator local sau un cont de domeniu care face parte din grupul local Administrators), install de aplicatie, logoff, logon din nou cu contul userului
c. logoff, logon cu cont de admin, adaugat contul userului in grupul de admini locali, logoff, logon pe contul userului, install de aplicatie, logoff, logon pe cont de admin, scos contul userului din grupul de admini, logoff, logon din nou cu contul userului.
Cu cat mai pun cate o varianta, parca devine din ce in ce mai complicat, nu? Pai atunci ne oprim la prima. Ar fi bine, insa in XP nu merg toate asa de simplu.
Din nou o sa dau un exemplu: Userul suna si spune ca nu poate accesa un anume website. ITstul se uita si vede ca serverul DNS configurat pe adaptorul de retea e gresit. Cum il schimba, ca RunAs pe adaptorul de retea nu merge. Ar fi variantele B si C de mai sus, dar par foarte “time consuming”, nu? Plus ca trebuie sa inchizi toata sesiunea userului.
Variante ar fi asa:
a) sa rulezi CPL-ul asociat cu network connections cu RunAs (nu stiu numele pe dinafara dar il gasiti printr-un simplu search)
b) sa accesezi Control Panel dintr-un Internet Explorer pornit cu RunAs
c) sa accesezi Control Panel dintr-un Explorer pornit cu RunAs
Acum sa le discutam pe fiecare in parte.
a) Nu toate CPL-urile ruleaza cu RunAs.
b) mi-a funtionat bine pe IE6. recen t am incercat pe statii cu IE8 si ghinion. Nu a mai mers.
Pentru cei ce inca vor sa foloseasca aceasta varianta iata in mare cateva explicatii. Dupa ce deschizi IE accesezi un drive local:
IE-ul va lua forma lui Windows Explorer si daca deschideti my Computer o sa vedeti si optiunea Control Panel.
E ok, e o optiune care a mers o buna perioada de timp doar ca nu stiu de ce nu mai merge pe IE8. Trecem la ultima varianta.
c) By default daca incercam sa rulam Windows Explorer cu RunAs nu o sa se intampla nimic. Asta pentru ca o singura instanta de Explorer poate rula. Dar nu disperati, lucrurile se pot rezolva. Avem doua variante de data asta:
1. Deschidem un CMD cu RunAs pe un cont de administrator. Deschidem un Task Manager. Inchidem procesul explorer de pe userul curent.
Pornim un nou explorer din CMD-ul ce ruleaza ca admin. O putem lucra ca si cum am dat logoff/logon cu contul de admin.
2. Facem ca Windows Explorer sa poata rula cu RunAs. Ca sa-l facem sa mearga e nevoie sa activam urmatoarea optiune in folder options:
Atentie: bifa asta trebuie pusa pe contul folosit pentru a rula noua instanta de Explorer – adica pe contul de admin.
Si ca sa nu mai dam logoff, putem deschide un CMD cu RunAs, de acolo un regedit. Cu Regedit setam urmatoarea cheie pe DWORD 1 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SeparateProcess.
Imediat ce am setat valoarea pe 1 putem rula Windows Explorer cu RunAs:
Dupa cum puteti vedeam, am un Explorer deschis cu user-ul Andrei si unul cu user-ul Administrator.
Si inca doua tips&tricks pe scurt:
– RunAs depinde de serviciul Secondary Logon. Daca serviciul e oprit RunAs nu o sa mearga.
– Daca optiunea RunAs nu apare, tineti apasat pe SHIFT + right click.
PS: astept si alte sugestii pentru a completa articolul. Am descris doar metodele pe care le-am intalnit si folosit eu pana acum.
2 Responses to “Cum sa nu te chinui cu RunAs pe Windows XP”
Comment from Andrei Ungureanu
Time November 2, 2010 at 8:45 pm
Problema cu Logoff e ca dupa ce faci o instalare sa zicem, trebuie sa dai din nou Logoff pentru a testa in contextul userului normal. Si daca nu merge? Iar Logoff/Logon si asa mai departe. Avand un Explorer deschis ca admin te scuteste de mult timp pierdut. Dar fiecare cu preferintele lui bineinteles 😉
Comment from Lacrama Dragos
Time November 2, 2010 at 8:14 pm
M-am lovit si eu de probleme din astea de mai multe ori si am preferat sa dau log off din userul respectiv si log on cu un user de admin (fie el local sau de domeniu).
Initial am mers pe idea de a rula cmd-ul cu un user de admin si de acolo de exemplu sa rulez ncpa.cpl dar abservam ca tot nu am drepturi.
Am patit de multe ori sa trebuiasca sa instalez mai stiu eu ce aplicatii contabile de folosesc fox pro si cu run as admin nu am reusit; pornea setup-ul dar nu finalizam instalarea.
Sincer eu prefer log off log on. Pare mai aiurea asa si 100% exista solutii mai IT-ste dar ce e sigur e sigur.
🙂