RunAs

démarrer des sessions Logon qui utilisent d’autres références dans la session Logon courante. (Avant Win2K, l’utilitaire su.exe Microsoft Windows NT Server 4.0 Resource Kit fournissait cette fonctionnalité.) Le service Secondary Logon est installé par défaut dans Win2K et systèmes ultérieurs et il démarre automatiquement à l’initialisation du système.

Par exemple, pour démarrer la MMC (Microsoft Management Console) dans un contexte de sécurité administrateur, vous pouvez taper la commande RunAs suivante sur la ligne de commande :

runas /user:administrator mmc RunAs

vous demande ensuite d’entrer le mot de passe de l’administrateur comme le montre la figure 2. Si le mot de passe est bon, l’utilitaire va démarrer une instance du MMC. Le tableau 1 donne un aperçu des commutateurs de ligne de commande RunAs les plus importants.

Vous pouvez aussi exécuter RunAs à partir de Windows Explorer. Pour cela, faites un clic droit sur l’icône d’un exécutable ou d’un raccourci et sélectionnez Run as pour ouvrir la boîte de dialogue de ce nom que l’on voit figure 3. Cette boîte de dialogue propose de sélectionner des références alternées. Pour les icônes qui n’offrent pas l’option Run as dans le menu de contexte normal (comme les applets Control Panel), maintenez la touche Maj enfoncée tout en faisant un clic droit sur l’icône. Ou bien, vous pouvez faire de RunAs l’action par défaut pour un exécutable ou un raccourci particulier, en ouvrant Properties de cet exécutable fenêtre en attirant votre attention sur le fait que tout ce qui s’effectue dans cette fenêtre évolue dans un environnement hautement privilégié. Ainsi, vous pouvez changer la configuration cible du raccourci dans Properties du raccourci en pointant sur le champ Start in vers le répertoire C:\windows\ system32 puis en entrant la commande suivante dans le champ Target :

runas /u:Administrator
"%windir%\System32\cmd.exe
/k cd c:&& color fc &&
title !!!!! Administrator console!!!!!"

Regardez à nouveau la figure 3. La boîte de dialogue RunAs inclut aussi une option pour sélectionner le Current user ; quand vous la sélectionnez, vous pouvez aussi cocher la case Protect my computer and data from unauthorized program activity. Ces options démarrent l’application sélectionnée dans le contexte de sécurité du compte utilisateur courant, mais avec un jeton d’accès restreint, signifiant que plusieurs privilèges seront refusés au nouveau processus :

• Si l’utilisateur courant est membre des groupes Administrators, Power Users, Domain Admins ou Enterprise Admins, les appartenances à ces groupes seront supprimées du jeton d’accès de l’application.

• L’application aura l’accès en lecture seule au registre et n’aura pas accès à la sous-clé de registre HKEY_CURRENT_ USER\SOFTWARE\Policies.

• L’application ne pourra pas accéder au répertoire de profil de l’utilisateur ni à aucun de ses sous-répertoires.

• L’application n’aura pas de privilèges à l’échelle de tout le système, à l’exception du droit utilisateur Bypass traverse checking.

Ces restrictions font de l’option de l’option RunAs avancée une puissante fonction de sécurité, commode, par exemple, quand on veut empêcher certains sites Web d’écrire des données sur votre système local. Vous trouverez d’autres informations sur cette option sur le blog de Aaron Margosis, gourou bien connu du moindre privilège Windows.

Vous pouvez aussi utiliser RunAs pour démarrer le shell Windows complet dans un contexte de sécurité alterné. Cela peut s’avérer utile quand on veut utiliser les associations de lecteurs dans la session de logon secondaire. Un lecteur qui est associé à partir de la ligne de commande dans une session de logon secondaire ne sera pas accessible à partir de votre session Windows Explorer, sauf si vous démarrez le shell Windows complet dans le contexte de sécurité alterné. Pour cela, détruisez le processus explorer.exe de Task Manager. Puis, en utilisant l’option de menu File, Run de Task Manager, tapez :

runas /u:joe explorer.exe

De multiples commandes RunAs peuvent être imbriquées. Supposons que vous vouliez installer du logiciel sur votre machine et que l’image du logiciel se trouve sur un lecteur du réseau. L’accès au lecteur du réseau demande en principe un ensemble différent de références locales ou de domaine. Vous pouvez imbriquer les commandes RunAs de la manière suivante :

runas /u:%COMPUTERNAME%\ Administrator
"runas /netonly /u:%USERDOMAIN%\%USERNAME% cmd.exe

Cette commande vous demandera deux fois les références : premièrement, pour vos références Administrator local, deuxièmement pour vos références de domaines. Il en résultera une fenêtre de commande qui opère dans le contexte de sécurité du compte Administrator local (ce qui signifie que vous utilisez aussi le profil de l’Administrator local) mais utilise vos préférences de domaines pour accéder aux ressources distantes.

Sachez que RunAs risque de trébucher quand on l’utilise pour démarrer Windows Explorer. Pour l’explication correspondante, voir l’encadré « Les trucs de RunAs ».