前言(感觉要说的东西很多,就来个前言吧)
作为域管理员,不能给普通用户太大的权限,一般把域帐号加入本地的“Power users”组就可以了。但是要注意一些问题。有时候用管理员安装的软件,域帐号却无法运行,这可能是域帐号对软件的安装目录缺少完全控制权限。(这一般是因为安装软件的打包设计比较烂,根本没有安装成所有用户可用的功能)。这时通常的做法是切换至管理员帐号(本地管理员或域管理员),选择“软件安装目录”,右键“共享和安全”,在“安全”选项卡,点“添加”,选择“域帐号”,授予域帐号完全控制权限。然后再切换回域帐号,看一下软件能否正常运行。这个过程非常繁琐,等待的时间很长,效率很低,那么有什么简单的方法来实现呢?如果你对此感兴趣,就继续看吧!
一、 一、先说一下如何在普通用户权限下运行程序。
方法有几种,第一种利用Windows自带的Runas命令。第二种利用第三软件来实现,例如:CPAU等。
1、Runas命令,在使用该命令时,会弹出对话框,输入密码后,即可执行命令。
Runas命令用法:
RUNAS [ [/noprofile | /profile] [/env] [/netonly] ]
/user:
RUNAS [ [/noprofile | /profile] [/env] [/netonly] ]
/smartcard [/user:
/noprofile 指定不应该加载用户的配置文件。
这会加速应用程序加载,但
可能会造成一些应用程序运行不正常。
/profile 指定应该加载用户的配置文件。
这是默认值。
/env 要使用当前环境,而不是用户的环境。
/netonly 只在指定的凭据限于远程访问的情况下才使用。
/savecred 用用户以前保存的凭据。
Windows XP Home Edition 上没有这个选项。
该选项会被忽略。
/smartcard 如果凭据是智能卡提供的,则使用这个选项。
/user
program EXE. 的命令行。请参阅下面的例子
例如:
> runas /profile /env /user:mydomain\admin "mmc %windir%\system32\dsa.msc"
> runas /env /user:[email protected] "notepad \"my file.txt\""
>Runas /netonly /user:domain\zhangsan cmd
解释一下上面的命令。以域名“domain”域管理员帐号“zhangsan”运行“CMD”命令。这样就可以在这个CMD命令窗口中输入要运行的程序,例如:输入Compmgmt.msc,就以域管理员身份打开了计算机管理。/netonly 参数是指不在本地生成“zhangsan”的本地配置文件。
2、 2、CPAU是具有Runas功能的一个第三方程序,可以在该程序命令中指定域管理员的帐号和密码,这样可以避免CMD中输入命令,并且CPAU还支持把命令写入一个加密的文本文件中,再通过执行该文件文件来执行命令,保密程序更高了。
CPAU 用法:
CPAU -u 用户 [-p 密码] -ex "程序或命令" [参数]
用户 用于登录的用户名(一般指管理员)例:Domain\Domainadm
密码 用户的密码[密码]
程序或命令 要执行的程序或命令
参数:
-profile 使用本地登录配置文件代替网络登录
-localwithprofile –profile的别名
-lwp -profile的别名
-localwithoutprofile 使用本地登录但不加载配置文件
-lwop -localwithoutprofile的别名
-k 使用命令cmd /k 关闭打开的窗口
-c 程序执行完成后使用命令cmd /c 关闭打开的窗口
-pipepwd 指定传入密码的方法
-enc 为最终用户加密任务
-dec 解密任务
-file 指定创建或执行的文本文件
-wait 等待进程完成
-outprocexit 同-wait一起使用,使用 errorlevel参数来代替CPAU的错误提示
-cwd x 指定工作目录
-hide 新进程隐藏运行
-title x 指定命令窗口的标题
-crc file[,file,file] 这个参数允许在加密文件文件中加入CRC错误校验信息。当
CRC校验出错时,提醒所执行的文件不是要运行的文件,重新选择文件。
-nowarn 网络登录时不输出警告信息
示例1:
cpau -u joehome\joe -p logon -ex "perl cleanup.pl" -lwp
以joehome\joe用户运行脚本perl cleanup.pl。
示例2:
cpau -u joehome\joe -p logon -ex "perl cleanup.pl" -enc -file cleanup.job
把以joehome\joe用户运行脚本perl cleanup.pl 的命令写入cleanup.job中
示例3:
cpau -dec -file cleanup.job -lwp
执行命令文件nup.job
示例4:
cpau -u joehome\joe -p logon -ex "perl cleanup.pl" -wait -lwp
以joehome\joe用户运行脚本perl cleanup.pl并等待进程完成
示例5:
cpau -u joe -p logon -ex notepad.exe -lwp
以joee用户运行notepad.exe
示例6:
cpau -u joehome\joe -p logon -ex logonscript.cmd -lwp
在当前目录以joehome\joe 运行logonscript.cmd 。
示例7:
cpau -u joehome\joe -p logon -ex logonscript.cmd -lwp -cwd c:\temp
在目录c:\temp中以joehome\joe 运行logonscript.cmd 。
示例8:
cpau -u administrator -p password -ex notepad -file start_notepad.txt -enc
cpau -file start_notepad.txt –dec
说明一下:第一行命令把“cpau -u administrator -p password -ex notepad”加密写入文件
start_notepad.txt,第二行命令通过执行start_notepad.txt,来执行命令“cpau -u administrator
-p password -ex notepad”。
二、 二、介绍一下Xcacls.vbs脚本的功能及用法
要设置和使用 Xcacls.vbs,请按照下列步骤操作:
1. 1、从以下 Microsoft 网站获得 Xcacls.vbs 的最新版本:
http://download.microsoft.com/download/f/7/8/f786aaf3-a37b-45ab-b0a2-8c8c18b... (http://download.microsoft.com/download/f/7/8/f786aaf3-a37b-45ab-b0a2-8c8c18b...)
2. 2、双击“Xcacls_Installer.exe”。当提示您提供放置提取文件的位置时,请指定一个位于计算机的搜索路径设置中的文件夹(如 C:\Windows)。
3. 3、将默认脚本引擎从 Wscript 更改为 Cscript。(Xcacls.vbs 脚本最适合在 Cscript 下运行。)为此,请在命令提示符下键入以下内容,然后按 Enter:
cscript.exe /h:cscript
注意:将默认脚本引擎更改为 Cscript 只影响脚本向屏幕写入的方式。Wscript 根据“确定”对话框分别写入每一行。Cscript 将每一行写入命令窗口。如果您不想更改默认脚本引擎,则必须使用以下命令运行脚本
cscript.exe xcacls.vbs
但是,如果将默认脚本更改为 Cscript,则可以使用以下命令运行该脚本:
xcacls.vbs
4. Xcacls.vbs 命令的语法
Xcacls.vbs 目录或文件 /g 域名\域用户:权限;高级权限 参数 /e /t /c /R 用户 /D 用户: 权限;高级权限……
目录或文件名 [必须]单独使用该参数,列出目录或文件的权限
/f 改变所有文件的权限,不包括子目录,除非指定了/t,不能应用于目录;
/s 改变所有子目录的权限,不包括下面的文件,除非指定了/t,不能应用于目录;
/t 操作对指定文件夹下所有文件及文件夹有效。该参数不能应用于文件;
/e 编辑权限列表,增加权限,而不是用批定的权限代替权限列表;
/g 用户:权限;高级权限 指定要授予的用户,并授予指定的权限
权限:
F 完全控制
M 修改
X 读取执行
L 列出文件夹内容
R 只读
W 写入
特定权限(只用于文件)
F 完全控制
M 修改
X 读取执行
R 只读
W 写入
高级权限
D 取得所有权
C 更改权限
B 读取权限
A 删除
9 写入属性
8 读取属性
7 删除子文件夹文件
6 遍历文件夹/运行文件
5 写入扩展属性
4 读取扩展属性
3 创建文件夹/附加数据
2 创建文件/写入数据
1 列出文件夹/读取数据
/R 用户 把指定的用户从权限列表中移除
/D 用户:权限;高级权限 拒绝指定用户的权限(具体权限同/g 参数)
/O 用户 授予指定用户或组取得所有权
/I 参数 继承标志。缺省是不会继承权限的。
参数:
Enable 打开继承标志。
Copy 关闭继承标志,并复制权限。
Remove 关闭继承标志,不复制权限。
/L 文件名 指定记录命令执行情况的文本文件。指定的文件如果不在当前目录,
需包括路径,如果文件不存在,则创建该文件。文件存在,则把记录追加至
该文本文件。文件扩展名一般为“log”。
/Q 打开静默模式,该模式不会显示输出至屏幕。缺省是显示输出。
/Debug 打开调试模式,缺省关闭。将输出更多的信息。
/Server 计算机名 输入远程计算机名
/User 远程连接的用户名
/Pass 远程连接用户的密码
可以使用通配符:* ?
5. 下列 Xcacls.vbs 命令提供 Xcacls.vbs 用法的一些示例:
>xcacls.vbs c:\test\ /g domain\testuser1:f /f /t /e
该命令可编辑现有权限。它授予 Domain\TestUser1 完全控制 C:\Test 下所有文件的权限,遍历 C:\Test 下的子文件夹,然后更改找到的所有文件。该命令不触及目录。
xcacls.vbs c:\test\ /g domain\testuser1:f /s /l "c:\xcacls.log"
该命令可替换现有权限。它授予 Domain\TestUser1 完全控制 C:\Test 下所有子文件夹的权限,而且记录到 C:\Xcacls.log。该命令不触及文件,并且不遍历目录。
xcacls.vbs c:\test\readme.txt /o "machinea\group1"
该命令将自述文件的所有者更改为组 MachineA\Group1。
xcacls.vbs c:\test\badcode.exe /r "machinea\group1" /r"domain\testuser1"
该命令撤消 MachineA\Group1 和 Domain\TestUser1 的 C:\Test\Badcode.exe 权限。
xcacls.vbs c:\test\subdir1 /i enable /q
该命令将打开文件夹 C:\Test\Subdir1 上的继承。该命令将取消任何屏幕输出。
xcacls.vbs serverashareztestpage.htm /p "domain\group2":14
此命令通过使用 Windows Management Instrumentation (WMI) 远程连接到 ServerAShareZ。然后获取用于该共享的本地路径,在该路径下,它更改 Testpage.htm 上的权限。它原封保留 Domain\Group2 的现有权限,但是添加权限 1(读取数据)和权限 4(读取扩展属性)。该命令放弃此文件上的其他权限,原因是未使用 /e 开关。
xcacls.vbs d:\default.htm /g "domain\group2":f /server servera /user
Servera\admin /pass password /e
该命令使用 WMI 作为 ServerA\Admin 远程连接到 ServerA,然后将Default.htm 上的完全权限授予 Domain\Group2。Domain\Group2 的现有权限丢失,但保留文件上的其他权限。
三、下面进入主题:在域普通用户环境下执行脚本Xcacls.vbs更改目录权限。
1、准备工作:准备一台加入域环境的计算机,创建一个域帐号Test。创建一个具有域管理员权限的用户Domainadm,其密码为123。在客户机上创建一个目录在d:\1,并创建几个文件,域名为Domain、把目录d:\1授予域用户Test完全控制权。
命令(以后的命令都是在CMD中输入):
Runas /netonly /user:Domain\Domainadm "Cscript.exe //nologo \".\xcacls.vbs\" d:\1 /g Domain\test:f /e /t"
说明:Runas命令运行的程序如果用参数应该用""括起来。注意引号里面的用法,\".\xcacls.vbs\"这样使用的目录是把xcacls.vbs文件定位到当前目录,所以在打开CMD窗口后,要把路径切换至xcacls.vbs文件所在的目录,不能会出现找不到文件的错误。另外如果有的目录或用户名中间有空格,应用\" \"这样一对符号括起来,不然命令会执行失败。
3、把目录d:\1授予本地“Power users”组完全控制权。
Runas /netonly /user:Domain\Domainadm "Cscript.exe //nologo \".\xcacls.vbs\" d:\1 /g \"BUILTIN\Power Users\":f /e /t"
注意:Power Users组中间有空格,需用符号\" \"括起来,本地组应该使用BUILTIN ,就是这样的形式:\"BUILTIN\Power Users\"。
4、我把域用户Test用户加入本地“Power users”组,再把D盘授予本地“Power users”组完全控制权限,这样域用户Test就拥有了对本地D盘的完全控制权限。
把域用户Test加入本地“Power users”组的脚本:
把下面的代码写入一个文本文件中,并更名为“将域帐号加入本地Power组.VBS”
Dim NPCName,DUser
Set objnet = CreateObject ("WScript.Network")
NPCName = InputBox ("当前的计算机名是:" & objnet.ComputerName,"输入目标计算机名")
DUser = InputBox ("","输入域用户帐号名")
strComputer = NPCName
Set objGroup = GetObject("WinNT://" & strComputer & "/Power Users")
Set objUser = GetObject("WinNT://rybb/" & DUser)
objGroup.Add(objUser.ADsPath)
四、使用CPAU在域普通用户环境下执行脚本Xcacls.vbs更改目录权限。
示例1:把目录d:\1域授予用户Test完全控制权。
CPAU -u Domain\Domainadm –p 123 –ex "Cscript.exe //nologo \".\xcacls.vbs\" d:\1 /g Domain\test:f /e /t /q" –lwop –wati –nowarn –enc –file ChangePower.job
CPAU –file ChangePower.job –dec
示例2:把目录d:\1授予本地“Power users”组完全控制权。
CPAU -u Domain\Domainadm –p 123 –ex "Cscript.exe //nologo \".\xcacls.vbs\" d:\1 /g \"BUILTIN\Power Users\":f /e /t /q" –lwop –wati –nowarn –enc –file ChangePower.job
CPAU –file ChangePower.job –dec
五、最后使用批处理和脚本做一个通用的批处理
批处理要求:把指定的域用户授予本地指定目录的完全控制权(指定权限感觉没有太大意义,不过要做还是还简单的,有兴趣的自己做下看)。
1、下面是我的批处理内容:(使用Runas实现)
“授予普通用户对目录的完全控制权限.cmd”的内容如下:
@echo off
Rem 输入域帐号名并赋值给变量Duser
set Duser=
set /p Duser=请输入域帐号名(例:Domain\Domainadm):
Rem 输入目录路径并赋值给变量DPath
set DPath=
set /p DPath=请输入目录名称或直接把目录拖放至CMD窗口:
@echo off
Rem 获取当前路径并赋值给变量Upath
for /f "delims=" %%i in ('cd') do set Upath=%%i
Rem 使用用户Domain\Domainadm运行,授予用户Duser目录DPath的完全控制权。
Rem 采用静默方式运行,并把运行情况写入当前目录文件ChangePower.log中。
start /w runas /user:Domain\Domainadm "Cscript.exe //nologo \".\xcacls.vbs\" %DPath% /g %DUser%:f /e /t /q /l %Upath%\ChangePower.log"
Rem 用记事本打开文件ChangePower.log
notepad.exe %Upath%\ChangePower.log
exit
2、使用CPAU实现该功能的批处理:
“授予普通用户对目录的完全控制权限.cmd”的内容如下:
@echo off
Rem 输入域帐号名并赋值给变量Duser
set Duser=
set /p Duser=请输入域帐号名(例:Domain\Domainadm):
Rem 输入目录路径并赋值给变量DPath
set DPath=
set /p DPath=请输入目录名称或直接把目录拖放至CMD窗口:
@echo off
Rem 获取当前路径并赋值给变量Upath
for /f "delims=" %%i in ('cd') do set Upath=%%i
Rem 使用用户Domain\Domainadm运行,授予用户Duser目录DPath的完全控制权。Rem 采用静默方式运行,并把运行情况写入当前目录文件ChangePower.log中。
%Upath%\cpau -u rybb\tangzhigang -p heroes33 -ex "Cscript.exe //nologo \".\xcacls.vbs\" %DPath% /g %DUser%:f /e /t /q /l %UPath%\ChangePower.log" -lwop -nowarn
Rem 用记事本打开文件ChangePower.log
notepad.exe %Upath%\ChangePower.log
exit
注意:使用上面的脚本时,如果是整个盘,如D盘,在输入路径时,要输入“D:”,而不能输入“D:\”。
本文为原创,转载请标明出处。——Longxiao