Executando programas com credenciais de administrador

Quem trabalha com TI com certeza já passou por situações onde um software precisa ser executado com credenciais de administrador, você daria esse privilegio a seus usuários?

Por questões de segurança, usuários utilizam contas restritas ou seja, não possuem privilégios de administrador, isso garante que usuários não possam alterar algumas configurações do computador como também a instalação de softwares. Alguns softwares necessitam de permissões para gravar em determinadas pastas ou modificar o registro do Windows e usuários restritos não possuem privilégios para concluir essas modificações.

Para resolver esse problema sem tornar o usuário um “administrador” basta utilizar o comando RUNAS também conhecido como “executar como” em nossa interface gráfica.

Abra as propriedades do atalho do software o qual pretendemos que seja executado como administrador.

runas1

Em destino, antes do caminho do executável inclua o comando Runas /savecred ficando

runas /savecred /user:administrador “C:\Windows\System32\cmd.exe”

Agora voce deverá clicar no atalho, será pedido uma senha, apos a digitação essa senha será memorizada pelo windows e não será solicitada novamente.

na figura abaixo voce poderá visualizar que o prompt esta sendo executado como administrador.

runas2

OBS: Neste exemplo utilizei o prompt de comando pois com ele é possivel exibir o usuario que esta executando-o, porem não recomendo esse uso em ambientes reais.

Caso seja necessário remover ou alterar a senha digitada use o console “contas de usuários” digitando “control userpasswords2” no executar.

Na aba “Avançado” clique em “gerenciar senhas”runas3

clique em credenciais do Windows, e modifique a credencial desejada.

runas4

outras senhas também serão salvas neste console como senhas de Área de trabalho remota.

Espero que tenham gostado e até o próximo.

  • Show de bola Carlos, muito boa a dica, acontece muito comigo isso… teria alguma coisa semelhante para as estações com windows XP ?

    • Reinaldo funciona da mesma forma no XP, totalmente compativel.

      • Mas para abrir isso em adminstrador eu tenho de utilizar a pass do admin mas eu nao a sei

  • Carlos, uma duvida
    eu preciso fazer isso estando logado com cada usuario ou apenas entro como administrador e altero o programa que quero executar como admin e os outros usuarios ja irao ter esta configuracao automatica?

  • Elcimar Junior

    Uso bastante esse método, no meu caso eu crio um arquivo .bat e para facilitar a vida do usuário coloco na área de trabalho um atalho com o mesmo ícone do programa a ser executado como administrador abro a primeira vez coloco a senha e pronto o usuário nem percebe que esta executando o programa como admin!

  • Raphael Rodrigues

    Também realizo muito este procedimento quando um software precisa ser executado como administrador, por exemplo o WampServer. O único problema que já detectamos é que se o usuário for mais “espertinho” e navegar por pastas pelo menu arquivo abrir, por exemplo, ele tem acesso a pastas sem permissão para o usuário comum… pois o software abre a janela com as permissões de administrador… Contudo, nunca tive problemas com isso. Mas o runas sem sombra de dúvida é um comando muito útil para nós.

    • Raphael, seu caso é parecido com o do Marcos Aurelio.

      Um forte abraço.

  • José Adail Maia

    Boa dica Carlos! Parabéns pelo post! Ainda me lembro como me ajudou a passar na minha primeira certificação 70-270!

  • Alguma dica para atualização do java e o flash player como usuario restrito ? abraço.

    • Muita gente atras dessa dica, vou preparar um post sobre isso. Aguarde os próximos capítulos.

  • Celso Sticanella

    Vocês já tentaram fazer isso em alguns programas como Polymap e Endereçador dos correios? Pois esses são os meus problemas,
    Esses programas não executam se não for como administradores.
    Vou fazer esse teste e tomara que de certo.
    Obrigado por enquanto.

  • Marco Aurélio

    Carlos Finet, aqui na empresa usávamos este recurso até descobrir que um indivíduo estava colocando o arquivo executável dentro do diretório onde havia uma permissão com o RUNAS e modificando o atalho para chamar o programa que ele queria executar. Ao meu ver dentro da senha teria que haver um hash para reconhecer o programa que foi habilitado.

    • Sim Marcos, quando o atalho é executado desta forma seria como se fosse um administrador a utiliza-lo e em alguns caso como o descrito por você ou até mesmo o que usei em meu exemplo (CMD) podem ser aproveitado como um brecha de segurança. Esse procedimento é indicado para softwares específicos como os de gestão e etc.
      No seu caso eu indicaria que fosse verificado
      • Quais diretórios o seu software utiliza.
      • Atribua as devidas permissões NTFS a seus usuários
      • Caso o software também utilize o registro do Windows identifique as áreas utilizadas e atribua as devidas permissões.

      Caso prefira continuar a utilizar o método do atalho, pense na possibilidade de implantar em sua rede a politica de grupo APPLOCKER

  • Patricia Oliveira TI

    O problema que encontrei usando este método consiste no sistema esquecer a senha =(

    • Patrícia, o parâmetro /savecred é exatamente para salvar as credenciais, apos digitar a senha ela será memorizada pelo sistema, pode reiniciar a maquina que o atalho continuará funcionando sem pedir a senha. O problema é se a senha do usuário for alterada (como no caso de politicas de segurança de senha) neste caso você deverá altera-la com o “control userpasswords2” como descrito no artigo.
      Um abraço Patricia.

      • ALLAN

        Carlos Finet Eu Tou Tentando Instalar CROSSFIRE ae aparecer essa janela do administrador se fazer issu resolver ? pra o crossfire tamber?

  • Celso Sticanella

    Eu consegui resolver com os programas Polymap e Endereçador dos Correios, mas ficou um detalhe, os mapas do programa polymap com Extensão “.m98” não abrem diretamente, dá o mesmo erro de quando o programa é executado pelo usuario sem ser administrador.
    Será que da pra fazer isso nos arquivos?

    • Celso, baixei o software Polymap versão 3.0 e abri um mapa .m98 e procedimento funcionou sem problemas, tente refazer os passos.

  • Boa dica! Mas para nao precisar por maquina, coloco no script usando um programa que completa o Runas, o SANUR!! Esse permite gravar a senha! Tem opções de apontar para outro local o arquivo com a senha para que os “espertinhos” nao descobrirem a senha!!

  • Celso Sticanella

    Mas você fez isso com um usuário do dominio, pois quando se esta no dominio ele pede senha quando vai instalar ou alterar algo no windows?
    É claro que fora do dominio funciona normalmente, mas aqui tenho cerca de 120 máquinas, então não posso deixá-los a deriva, portanto, todos ficam controlados pelo domínio, com Diretivas, etc.
    Servidor de Dominio: Windows Server 2008 R2
    Computador de Teste: Windows 7 Sp1

    • Celso funciona da mesma forma basta informar o usuario do dominio, por exemplo o administrador do dominio cooperati.local ficaria cooperati.local\administrador

      Até mais

      • Carlos

        então ficaria asim?
        runas /savecred /cooperati.local\user:administrador “C:\Windows\System32\cmd.exe”

        • Carlos a forma correta é

          runas /savecred /user:cooperati.local\administrador “C:\Windows\System32\cmd.exe”

  • Otimoooooooooooooooo…. Vou testar… =D

  • Pingback: ()

  • Carlos Eduardo da Costa

    Olá, com o autocad 2006 no Windows 8 não funcionou. Alguma dica (pelamordedeus)????

    • Carlos, creio que você terá que atualizar sua versão do Autocad de 2006 para 2012.

  • Fala Carlos, boa Tarde! É o seguinte: Tenho alguns programas que usam banco de dados locais EX(Interbase, Firebird) Não conseguir colocar pra rodar com a conta do usuário cadastrado no Domínio. Essa Dica que vç passou aqui não esta funcionando. tem alguma ideia de como corrigir esse problema.

    Valeu pela atenção!

  • Andre Borsoni

    Tentei fazer esse procedimento no programa da caixa (GRRF) em um domínio com Windows 2012 server e não deu certo, é possível alguém pode me ajudar?

  • Roniel

    Olá pessoal alguém pode me ajudar. minha situação é a mesma do rock utilizo um sistema chamado Allisson que utiliza banco de dados fireburd que só funciona se o usuário for administrador. como posso proceder nesse caso.

  • Maxwell Almeida

    Artigo realmente útil.
    é possível inserir a senha direto no código do runas ? Para que assim, eu possa inserir o comando num arquivo .bat e não precise inserir a senha manualmente

    Agradeço de pronto !!

  • Carlos boa tarde,

    Num ambiente de 100 maquinas com o AD rolando num 2008 server e as estações com o win7 pro, preciso bloquear os usuários de instalar qualquer coisa em suas estações, deixo o usuário restrito no domínio e crio uma GPO para todas as OUs envolvidas? No 2003 Server com o XP pro eu deixava as estações com usuários restritos e os usuários abriam normalmente seus programas instalados porem com restrição para instalar qualquer coisa nelas. Na plataforma atual com o 2008 e win7 nas estações ja não funciona assim, eu deixo restrito e eles tentam executar seus aplicativos e vive pedindo o user e senha para ser executado. Seria interessante um tutorial em vídeo demostrando uma forma de GPO para automatizar este processo.

  • Meus parabéns muito bom o post! não conhecia esta função. vai me ajudar muito. abs.

  • marcio

    Fala galera, to com um problema, fiz o comando e na primeira tentativa ele pede a senha, mas o programa não abre da erro, só abre se clcar com o botão direito/executar como/administrador e coloco a senha. Funciona perfeitamente, mas fecho o porgrama e tento abrir novamente não vai, da o mesmo erro só funcione se colocar toda vez a senha manualmente, alguem pode ajudar?

    • verifique se esta digitando corretamente o login de administrador, dominio/conta, outra observação, coloque o caminho do executável entre aspas.

  • Daniel

    Como ficaria este atalho no windows 7.
    “C:\Program Files (x86)\Correios\Enderecador\Enderecador.exe”
    domínio: sulmetas.com.br
    usuário do domínio: administrator
    Nome do computador: DTI020
    usuário do computador: admin

  • JF

    Carlos
    Parabéns pelo post , sempre acompanho o portal cooperati ,
    já uso o comando runas a algum tempo porem me deparei com o problema de imprimir ,
    na realidade o problema é com o internet explorer para executar o java no site do bradesco o unico jeito que descobrir para executar o java era executando como administrador .. porem nao consigo imprimir os relatorios , alguem ja teve esse problema ? já tentei de tudo instalar a mesma impressora nos 2 usuarios , imprimir com softwares de pdf ..
    Obrigado e no aguardo .

  • Nome Fictício

    Muito obrigado Carlos, consegui resolver um problema que dava ao executar uns componentes ao abrir softwares feitos no VB6

  • Leandro

    Opá, daria pra usar essa opção mais com um outro usuário que tenha perfil de Administrador?

  • Andrezza

    eu digito a senha no cmd,depois ele some,eu o abro e ele pede novamente a senha,o que eu faço?

  • LUCAS VINICIUS

    Olá,
    Muito com as dicas, só que estou com um problema, quando ele solicita a senha digito no teclado e não aparece nada no cdm, já tentei com teclado virtual e mesmo assim a senha não é digitada.
    estou usando para usuários em Win8 e Servidor Serve2012
    Grato

  • grande amigo!digo isso pelo seu esforço de ajudar pessoas como eu!
    queria um favor se pudesse ajudar e se o postado acima resolve isso,
    tenho uma rede de 40 computadores que roda no servidor windows server 2008R2
    que por sinal é muito bom e estável,nos clientes uso o windows 7 pro tudo original nada crakeado se me entende,os usuários não tem privilegio de administrador e toda vez que tenho de fazer uma atualização ou instalação de algum programa tenho de me logar como administrador,para isso eu queria algo que faria isso no usuário local sem fazer login de administrador certo??sendo assim eu chego vou instalar o programa e ele instala como administrador eu colocando a senha e depois que sair o usuário local não consiga fazer instalação nenhuma,tudo isso na maquina do usuário sem direitos.
    me desculpe mas foi assim que achei o jeito de te explicar ok?/
    abraço
    ivan

  • CHRISTIANO CONRADO FERNANDES ALDE

    Olá

    Minha duvida a isso é o seguinte:

    Como dar alguns privilegio no windows server 2008, mas nao colocar usuario como membro de administrators,
    ex: suporte primeiro nivel pode ter privilégios administrativos a alguns determinadas coisas que os Administradores fazem

    criei umas MSI do taskmanager e outro da conta de usuarios para que o suporte nivel 1 acesse somente esses serviços, sem que acesse o servidor por area de trabalho
    com isso quero dar o acesso somente os seguintes passos:

    1-alterar senha de usuários;
    2- desbloquear conta de usuário (ex: quando digita por 3 vezes a senha errada);
    3- Poder “matar” usuario (ex: fazer logoff e desbloquear usuario que acessam Sistema do RM/TOVTS) pelo taskmanager;

    obs: Criei uma conta de teste com poder de power user mas, não surtiu efeito.. dá a mensagem de “acess denied” ao tentar matar um usuario no taskmanager

  • Cleverson Lacerda

    Carlos se eu definir a senha no prompt ela vai ser a de entrada do administrador também ou só para o usuário que esta restrito?

  • maria lucia

    Carlos eu fiz isso mas a mensagem que o controle de usuário não deixa executar o runas.exe e também tem outro problema, o programa cria (grava) um arquivo quando ele abre e isso não está sendo permitido..vc teria alguma solução para me ajudar?

  • Koubru

    Muito obrigado pelas suas contribuições a sociedade, me ajudou bastante. Parabéns.

  • Dawerson

    Se for Windows 7 ou 8 só funciona com a conta de administrador habilitada.

  • Raimundo Augusto

    Muito obrigado pela ajuda.. resolveram um problema diplomático na empresa!
    Valeu Coperati

  • Rejane

    Me ajudou imensamente. Vlw!!

  • José

    Olá, como eu faço para mudar o ip por exemplo de uma maquina que esta logado com usuario restrito, no windows xp o runas funciona normal, no windows 7 ainda não consegui.

  • RODRIGO

    BOM DIA.

    REVER A SINTAXE DO COMANDO, POIS ESTA INCORRETA.

    Em destino, antes do caminho do executável inclua o comando Runas /savecred ficando:
    runas /savecred /user:administrador “C:\Windows\System32\cmd.exe”

    SEM MAIS: RODRIGO

  • Cesar

    Carlos
    Implementei o atalha conforme voce informou porem quando ele abre a janela ele não deixa digitar a senha como posso estar corrigindo isso?

  • sim so queria instalar um programa mas vai mudar a senha do administrador?

  • Daniel Lopes

    Testei esse método e funcionou muito bem, só que não consigo implementá-lo no meu server 2012 porque meu software erp só funciona se o usuário estiver logado como administrador! Se não tenho problemas com impressão e relatórios!

  • daniel

    quando eu abro o win rar aparece a mensande de que vc permite o programa fazeralteraçao no pc ai pede uma senha e eu não sei a senha eu preciso tirar a senha

  • Cesar Lauria

    Carlos, boa noite.

    Esse comando “Runas” ele funciona também para atualização de aplicações (Java, Adobe Reader)? Em contato com alguns técnicos verifiquei que tem um script .bat que eleva os privilégios do usuário para determinada aplicação e assim o mesmo consegue instalar ou atualizar.

    Obrigado.
    Cesar Lauria.

  • Marcelo

    ola amigo , boa noite ..instalei o programa dos correios endereçador , porem ele não fecha comunicação ….fica dizendo que talves eu tenha proxy e na verdade é uma rede em casa mesmo ,,sem proxy ….já desativei o antivirus avast e tambem já dei permissão no firewall do windows….alguma dica de como resolver? obrigado desde de já.

  • Reginaldo Martins

    Eu ja estava ficando maluco, com um programa da caixa chamado GRRF, ja tinha dado acesso ao usuario em tudo o que é pasta no windows 2008 e so funcionava com administrador, estava ficando de cabelos brancos rsrsrs, nao conhecia o comando e sinceramente agradeço pela ajuda. Parabens…
    Tenho uma duvida q acabei lendo nos comentarios, por ex. coloquei o comando runas no caminho C:\CAIXA\GRRF.EXE, ele so vai funcionar em modo administrador pra esse programa ou pra tudo que tenha dentro da pasta C:\CAIXA ?
    Grande abraço e parabens pelo post mais uma vez.

  • Douglas Carvalho

    eu digito a senha no cmd,depois ele some,eu o abro e ele pede novamente a senha,o que eu faço?

  • Luiz Humberto

    Tm um software de terceiro que precisa criar arquivos na unidade C, além disso o software tem uma pasta onde foi concedido a permissão para gravar e funciona perfeitamente.

    Quanto ao C: mesmo concedendo permissão para gravar, desativando a UAC, ele não permite gravar arquivo, fiz um teste manualmente no windows explorer ele aceita a criar pasta, entretanto quando vai criar um arquivo ele dá a mensagem “O Cliente não tem privilégio necessário…”

    Qual procedimento precisa fazer para que o usuário consiga gravar arquivo na unidade C

  • celso

    poderia me passar como faço qdo compro um programa que tem um intalador como administrador.obrigado

  • Julia

    oi, eu queria saber se esse procedimento tem algum risco, alguma forma de que de uma merda muito grande, nao sei, estou com um pouco de receio de fazê-lo. Grata.

  • Bruno

    Parabéns por compartilhar conhecimento !

  • Gil

    Comigo está acontecendo algo muito estranho com o runas:

    Está tudo configurado no atalho e ao executar o mesmo funciona;
    Coloquei ele na pasta inicializar em todos os usuários no windows xp;
    Ao fazer logoff e re-logar o aplicativo abre normal;
    Se eu reiniciar o pc, as vezes abre o prompt de comand depois fecha e o aplicativo não abre, outras vezes nem o prompt aparece e o aplicativo não abre;
    Se eu mudar o usuário para não administrador, fizer logoff e re-logar o aplicativo abre;
    Mas se eu reiniciar o pc para este mesmo usuário (não administrado) fica sempre pedindo a senha no prompt e nunca salva e não abre o aplicativo!

    O que está errado?

    Obrigado a todos!

  • Iohann Palm

    windows 7 home premium, uso o comando para abrir o point blank porem da um erro e não funciona

  • Bruno Zamboni

    Obrigado por compartilhar.

    Queria tirar uma duvida, se alguem se deparou com esse problema.

    Depois que roda o comando runas /savecred /user:administrador “C:WindowsSystem32cmd.exe” e digita a senha do administrador o windows armazena essa informação e ela pode ser usada contra os administradores.

    Por exemplo, se o usuário espertinho rodar esse comando runas /savecred /user:administrador “C:Users…Downloadsutorrent.exe” o Windows vai aceitar a instalação sem pedir senha nenhuma.

    Alguem se deparou com esse problema e conseguiu contornar?

    • Diego Silva

      Sim, a pessoa consegue abrir qualquer coisa

  • Adriano Wengrat

    Preciso que meu user acesse uma unidade da rede para atualizar o software. Porém, quando utilizo o Runas, ele me diz que o caminho da rede não pode ser encontrado. Alguém sabe como resolver? Esqueci de citar que o user é uma service account.