域控之普通用户以管理员权限运行某些软件

最近俺的域控在部署中，碰到了不少问题，今天车间的领导又给我出难题了，由于生产的产品需要用U盘测试，U盘类又必须要重新格式化，改标卷之类的东西。这下我郁闷了。。。- Y: Z+ H1 s+ n! d& b, L
        俺第一反应就是在gpo里面看没有可用策略，“找啊，找啊，找朋友。。”结果发现好像有个，在计算机配置--windows设置--本地策略--安全选项,下面有一个“允许格式化和弹出可移动媒体“，就这么简单搞定了？？？马上新建一个GPO，找台电脑试试。。。。。很遗憾，不行。。。其实详细说明里面都说到了。。。只是我没看到而已，5555浪费我表情。。& m& W  y$ w2 s: C5 h: N  D
         用第三方软件试试吧，搞不好能碰到个可以不需要管理员权限就能使用的软件呢？？？我记得HP有一款专门针对U盘设计的格式化软件，很好用，先下下来试试。。。。。结果又是很遗憾。。。。但是如果我能单独对这个软件使用管理员权限运行问题不就解决了？？？好。。想法不错。。。可是windows下的runas不是那么好用滴，会暴露密码的。。那样不就等于告诉他们密码了？？？要是在linux下多好啊，编辑下sudo就好了，嘿嘿，不过我们还是可以来意淫一把的，sudo  "c:\windows\hpusbfw.exe" 。7 x7 y% j# N6 y! y
        意淫完了，问题还是要解决的，只好再求求万能的google。。。我就不信还有google不出来的东西（我可不是托哦），功夫不负有心人。。找到了两款软件CPAU和一个图形化的supercrypt，嘿嘿，怎么用呢？？cpau的话网上有很多教程拉，帮大家总结下啊。。。。8 }) A0 K3 o& C, T: Y; _
---------------------------------------------------------------------------------------------------------------------------------------------
7 y! N& i7 b; V" ]
         这几天一直研究runas 密码自动输入解决方案，虽然通过脚本可以将密码自动输入，但是毕竟脚本中密码是以明文出现，对于有一定网络基础的用户而言，显然不够安全。# L" M6 L/ Y! J+ S" y) p/ u3 \: A
' w2 W  Q2 M5 m) E4 ]. B7 f; p
google一番，发现一款小工具——cpau完全可以替代 runas，该软件比较实用之处是将用户名和密码以及要运行的命令事先写入一个文本，该文本内容是经过加密处理的。然后再将该文本作为cpau的运行参数即可。. ]$ `$ H$ d/ `1 h" H
举例说明：
　　cpau -u administrator -p password -ex notepad -file start_notepad.txt -enc2 _/ r# I% ]$ q& ~( p6 n4 p, W
　　cpau -file start_notepad.txt -dec
第一条命令将运行方式写入start_notepad.txt ，并加密6 C3 M7 C  H) Q) z/ ^) [/ Z
第二条命令是运行start_notepad.txt 
再以上一篇文章更改IP的脚本为例，只要将cpau.exe和生成的运行文本 封装在自解压文件中，同时更改批处理内容即可，这样就可以在安全的前提下完全替代runas。
生成chgip.txt0 k; v: L& `: B* V
cpau -u bl\test -p password -ex "cscript //nologo \".\chgip.vbs\"" -file chgip.txt -enc
# a  g' {/ Q* L: u: J6 K
批处理中运行chgip.txt
cpau -file chgip.txt-dec

---------------------------------------------------------------------------------------------------------------------------------------------
3 I9 Q" e* h/ ]/ c# N

博客：http://catcity.blog.51cto.com/310698/62493$ g% l, P- C& {# d9 M, B
3 G$ I! J8 k  C+ G9 B7 Z
这个基本上没问题。。。
; X9 o6 }/ I7 e& u. B% m% B6 S) k
我试在刚刚开始试的时候猛报错。。。xxxx  couldn't create process (5) 拒绝访问
我就郁闷了。。为什么会这样呢？？？google不出来。。不过我现在知道什么原因了。。。一会告诉你们！！
  X! ^, i$ t0 \4 V0 ?
后来我又在找类似cpau的软件，嘿嘿，又被我找到一款叫做supercrypt的软件，先down一个下来。。。。
哇，好兴奋，图形界面哦。。。嘿嘿。先来一个配置看看。。
 7 m9 F! ^( w9 b5 Q4 H7 Y* K1 ^
保存一个文件后，用supercrypt.exe调用，语法很简单的。。。。自己动手，丰衣足食。。
想看supercrypt的官方说明就是这个链接 http://www.moernaut.com/default.aspx?item=supercrypt
( i1 i/ \2 G6 Q- z: y% J7 f" j5 I: b
值得注意的是，假如是ghost版本的系统可能把secondeary logon这个服务关掉了。。嘿嘿，微软就给你打印出一排中文
“无法启动服务，原因是已被禁用或相关的设备没有启动”8 `/ c* Y& E" C' A4 a% K% {

问题都解决了。。。接下来就用GPO发布吧。。。这个应该不难吧。。。/ j7 t' z. K2 B6 s5 H) I
新建一个GPO，secondeary logon服务要设置为手动（调用时候必须有权限启动），写个小小的批处理，copy两个文件（supercrypt.exe和xxx.lsc）到C盘有环境变量的位置，接下来 。。。在客户端写个小批处理。。调用supercrypt.exe 运行相关的程序。。。  E. V* M. r  \9 N2 n% @- }

哈哈，我运气太好了 。。。花一个下午就搞定了。。。。- p+ ]0 L" O5 L  c- N
不好意思，要低调，低调。。。0 p9 x, }+ r* o$ \

想必大家都看了以上的过程了。。。我的是用在格式化U盘，各位也可以用在其他方面。。。。
谢谢大家观看本人的罗嗦，有不正确的地方还请指出。。

原文链接；http://bbs.51cto.com/thread-785964-1.html