none
Executar programas sem solicitar senha do Adminstrador em maquina local

    Question

  • Srs,

    Tenho um 2008 R2 server rodando AD e GPO, estou tendo dificuldades (iniciante) em liberar algums programas que exigem acesso como Administrador, confesso procurei aqui e achei bastante soluções porem nenhuma delas deram certo.

    Gostaria de realizar esta configuração via GPO (se possível lógico) pois são 30 a 60 hosts que  irão executar este aplicativo, a pergunta é como fazer isso.

    Ocorre é que toda vez que executo o este aplicativo ele solicita senha do Administrador, tentei liberar as pastas (dar acesso) via GPO (Computer Configuration->Polices->Windows Settings->Security Settings->File System) e adicionai os diretório onde o sistema foi instalado e dei permissão full para o grupo em que o usuário está.

    Sei que não está certo desta forma, pois não funcionou rsss

    Abaixo algumas telas:

     

     

    Agradeço desde já pela atenção

    Tuesday, October 18, 2011 8:05 PM

Answers

  • Olá Camolez.

    Podes seguir este tutorial:

    ----------------

     

    Se você é usuário do Windows Vista, 7, ou Server 2008, então já deve ter se deparado com o UAC. O propósito do UAC é melhorar a segurança no Windows, o que ele faz bem, mas ao custo da facilidade de uso.

    Existem muitos programas que precisam ser autorizados pelo UAC para que possam ser executados. Alguns usuários optam por desativar o UAC (o que NÃO é recomendável!), mas ao invés disso, que tal desativá-lo apenas para certos programas ao invés de desativá-lo por completo?

    Felizmente essa possibilidade existe e é recomendada pela própria Microsoft.

    • Primeiro, faça o download e instale o Application Compatibility Toolkit.
    • Encontre o ícone para o Compatibility Administrator. Clique com o botão direito do mouse sobre ele e escolha Executar como administrador.
    • No painel do lado esquerdo, clique com o botão direito em database sob o item Custom Databases, selecione Create New e em seguida selecione Application Fix.
    • Digite o nome e os detalhes do programa que você quer alterar e navegue até selecioná-lo. Clique em Next.
    • Clique em Next até chegar na tela Compatibility Fixes.
    • Na tela Compatibility Fixes, encontre o item RunAsInvoker e selecione-o.
    • Clique em Next e depois em Finish.
    • Selecione File e Save As. Salve o arquivo como app.sdb em um diretório fácil de encontrar.
    • Navegue até o menu Iniciar, clique com o botão direito do mouse no ícone do Prompt de comando e selecione Executar como administrador.
    • Execute o seguinte comando no prompt:

      sdbinst <caminho>\app.sdb

      Onde <caminho> é o local onde você salvou o arquivo app.sdb. Por exemplo, se você o salvou no diretórioC:\Windows, o comando ficaria assim:

      sdbinst  C:\Windows\app.sdb 

    • Você deve ver uma mensagem de confirmação.
    • E pronto! O Windows não irá mais invocar o UAC sempre que você executar o programa que você alterou.

    É recomendável usar este método, apesar de aparentemente ser mais trabalhoso, do que desativar completamente o UAC.

    ------------------

    Att,

    Alan


    E Deus disse a Noé: Faça um backup que eu vou formatar!
    • Marked as answer by Camolez Thursday, October 20, 2011 11:44 AM
    Thursday, October 20, 2011 1:35 AM
  • Srs,

    Agradeço a todos pelo empenho.

    Alan,

    Se vc estivesse aqui lhe da um beijo cara ahahaha Resolvido, inclusive usei o Standerd user analizer para executar o aplicativo onde tem até a possibilidade de criar um *.msi prontinho p/ distribuir via GPO.

    Mágico isso !!!!

    Muito obrigado mesmo tirou 50 toneladas do meu ombro.

    Abraços.

    • Marked as answer by Camolez Thursday, October 20, 2011 11:44 AM
    Thursday, October 20, 2011 11:44 AM

All replies

  • Camolez, parece que o software está configurado para executar como Administrador. Independente da permissão no sistema de arquivo, como ele está confiurado desta forma, ele vai pedir que o usuário tenha privilégio de administrador. Para não pedir a senha, basta colocar o usuário no grupo Administradores que, por padrão, ele para de pedir a senha e passa a apenas confirmar a autorização do usuário para que o programa rode.

     

    É isso mesmo que você está na dúvida?

     

    Claro que colocar o usuário no grupo Administrador é um privilégio enorme que pode ser problemática. O software não funciona com um privilégio mais moderado?


    Cláudio Costa - http://claudio-costa.blogspot.com
    Tuesday, October 18, 2011 8:46 PM
    Moderator
  • Cara, o que o Cláudio disse pode ser uma solução.

    Dê uma olhada se não está habilitado, para sempre ser executado como Administrador:

    Caso o usuário não seja administrador e esta aplicação precise ser executado como, pode usar o comando runas p/ executar como Administrador.

     

     


    Gustavo Valle | http://grvalle.com
    Wednesday, October 19, 2011 12:17 AM
    Moderator
  • Cláudio,

    Realmente colocando o usuário no grupo de Administrador o aplicativo funciona, porem perco completamente o objetivo pelo qual "briguei" aqui na empresa para implementar AD que é a possibilidade de ter mais controle nos host's dos usuários, colocando como Administrator eles fazerm o que querem na máquina, ou estou errado?

    Gustavo,

    Se puder detalhar mais sobre esse comando runas e ou passar algum documento sobre agradeço

     

    Agradeço a todos pelo empenho.

    Abraços.

    Wednesday, October 19, 2011 11:46 AM
  • Olá Camolez,

    Você pode tentar adicionar os usuários ao Grupo "Power Users" (Usuários Avançados) ao invés do Administrator.

     

    Abraços,


    Rafael Mantovani
    Wednesday, October 19, 2011 12:28 PM
    Moderator
  • Rafael,

    Sinto muito pela santa ignorancia aqui mas não encontrei este grupo no 2008 r2 

    Abraços.

    Wednesday, October 19, 2011 6:25 PM
  • Olá Camolez, o que está pedindo a senha para o seu usuário é um negócio chamado UAC. Com ele, normalmente, mesmo quando você se loga com um administrador local, na verdade vc fica sem privilégios. Quando você precisa de um privilégio elevado, se você for um administrador local, ele pergunta se vc autoriza, se você não for administrador local, ele pede a senha de um. 
    No seu caso, existe duas opções, ou o executável está configurado para executar em modo elevado ou o software foi codificado para, ao ser executado, solicitar elevação. No primeiro caso, basta retirar a configuração para ver se a aplicação funciona. O amigo Gustavo mostrou na tela acima como tirar esta configuração. Clica com o botão da direita em cima do executável ou do atalho, abra propriedades e na aba Compatibilidade, desmarca o quadrado que o Gustavo circulou na tela. Depois disso, teste a aplicação, se funcionar ótimo. Se der erro, ela está precisando de um acesso que você ainda precisa conceder.
    Agora se a aplicação já foi codificada para exigir o administrador, neste caso vai, não tem jeito, vc vai ter que colocar o cara como administrador local.
    Abraço,

    Cláudio Costa - http://claudio-costa.blogspot.com
    Wednesday, October 19, 2011 10:14 PM
    Moderator
  • Olá Camolez. 

    O que você precisa tem neste link:

    http://social.technet.microsoft.com/Forums/pt-BR/winsrv2008pt/thread/997700d8-6511-4bea-899b-230f336fb60e 

    Qualquer dúvida pode entrar em contato.

    Att,

    Alan


    E Deus disse a Noé: Faça um backup que eu vou formatar!
    Thursday, October 20, 2011 1:32 AM
  • Olá Camolez.

    Podes seguir este tutorial:

    ----------------

     

    Se você é usuário do Windows Vista, 7, ou Server 2008, então já deve ter se deparado com o UAC. O propósito do UAC é melhorar a segurança no Windows, o que ele faz bem, mas ao custo da facilidade de uso.

    Existem muitos programas que precisam ser autorizados pelo UAC para que possam ser executados. Alguns usuários optam por desativar o UAC (o que NÃO é recomendável!), mas ao invés disso, que tal desativá-lo apenas para certos programas ao invés de desativá-lo por completo?

    Felizmente essa possibilidade existe e é recomendada pela própria Microsoft.

    • Primeiro, faça o download e instale o Application Compatibility Toolkit.
    • Encontre o ícone para o Compatibility Administrator. Clique com o botão direito do mouse sobre ele e escolha Executar como administrador.
    • No painel do lado esquerdo, clique com o botão direito em database sob o item Custom Databases, selecione Create New e em seguida selecione Application Fix.
    • Digite o nome e os detalhes do programa que você quer alterar e navegue até selecioná-lo. Clique em Next.
    • Clique em Next até chegar na tela Compatibility Fixes.
    • Na tela Compatibility Fixes, encontre o item RunAsInvoker e selecione-o.
    • Clique em Next e depois em Finish.
    • Selecione File e Save As. Salve o arquivo como app.sdb em um diretório fácil de encontrar.
    • Navegue até o menu Iniciar, clique com o botão direito do mouse no ícone do Prompt de comando e selecione Executar como administrador.
    • Execute o seguinte comando no prompt:

      sdbinst <caminho>\app.sdb

      Onde <caminho> é o local onde você salvou o arquivo app.sdb. Por exemplo, se você o salvou no diretórioC:\Windows, o comando ficaria assim:

      sdbinst  C:\Windows\app.sdb 

    • Você deve ver uma mensagem de confirmação.
    • E pronto! O Windows não irá mais invocar o UAC sempre que você executar o programa que você alterou.

    É recomendável usar este método, apesar de aparentemente ser mais trabalhoso, do que desativar completamente o UAC.

    ------------------

    Att,

    Alan


    E Deus disse a Noé: Faça um backup que eu vou formatar!
    • Marked as answer by Camolez Thursday, October 20, 2011 11:44 AM
    Thursday, October 20, 2011 1:35 AM
  • Tem este detalhe que o Claudio disse, do UAC.

    Desabilite-o e faça um teste.

    Caso precise, o comando runas funciona desta forma:

    1 - Crie um atalho no Desktop

    2- Insira o comando: runas /user:Administrador /savecred "C:\Arquivos de Progras\Programa.exe"

    http://grvalle.com/2011/04/12/executar-programas-como-administrador/

     

    Detalhe: usando o /savecred a credencial fica salva e se algum usuário quiser e tiver capacidade, pode pegá-la, então, use sempre credencial de ADM local.

    Sendo assim, em casos mais extremos em termos de segurança, é melhor utilizar o RunasSpc (com criptografia).


    Gustavo Valle | http://grvalle.com
    Thursday, October 20, 2011 10:42 AM
    Moderator
  • Srs,

    Agradeço a todos pelo empenho.

    Alan,

    Se vc estivesse aqui lhe da um beijo cara ahahaha Resolvido, inclusive usei o Standerd user analizer para executar o aplicativo onde tem até a possibilidade de criar um *.msi prontinho p/ distribuir via GPO.

    Mágico isso !!!!

    Muito obrigado mesmo tirou 50 toneladas do meu ombro.

    Abraços.

    • Marked as answer by Camolez Thursday, October 20, 2011 11:44 AM
    Thursday, October 20, 2011 11:44 AM
  • Essa é uma daquelas dicas que agente nao pode deixar de Copiar =_

    So acrescentando.

    Uso windows server 2008 e coloquei a compatibilidade para windows server 2003 e marquei nas 2 telas que aparecem o RunAsInvoker.

    So assim que funcionou aqui!

    Até a próxima!

    Monday, October 22, 2012 6:42 PM