本文提供了一些有关组策略未应用于用户帐户RunAs.exe或“以不同用户身份运行”的问题的信息。
适用于: Windows 客户端(所有支持的版本)
原始 KB 数: 4569309
总结
Windows 用户可以以其他用户身份运行程序或应用程序。 为此,用户选择 “运行”作为不同的用户 上下文菜单命令(或使用Runas.exe命令行工具),然后指定备用帐户的凭据。
最佳做法是,用户应使用自己的凭据在工作站上执行常规工作。 他们可以根据需要指定备用帐户(例如具有提升权限的帐户)的凭据来运行特定应用程序。
但是,当用户使用备用凭据登录时,Windows 不会处理备用帐户的组策略设置。 仅当用户使用登录用户界面登录到自己的桌面时,Windows 才会处理用户帐户的组策略设置。 相比之下,当用户使用Runas.exe或 以不同用户身份运行应用程序时,Windows 将启动在备用凭据下运行的单独进程。 此类操作不会触发组策略处理。
此行为是特意这样设计的。
详细信息
重要
请认真遵循本部分所述的步骤。 如果注册表修改不正确,可能会发生严重问题。 在修改注册表之前,请备份注册表,以便在出现问题时可以还原。
组策略设置不适用于由Runas.exe或 以不同用户身份运行的备用用户帐户。
Runas.exe可以加载与备用帐户关联的用户配置文件。 如果用户以前使用该帐户登录到该工作站上的 Windows,则关联的用户配置文件可能包含当时由组策略处理事件设置的注册表项和值。 但是,此行为取决于用户是否在 /noprofile 命令中包含开关。 如果用户使用 runas /noprofile 启动进程或应用程序,然后指定备用帐户,则 Windows 不会加载备用用户配置文件。 因此,备用用户配置文件不提供应用组策略设置的可靠方法。
如果要阻止用户使用Runas.exe或 以其他用户身份运行,请执行以下步骤。
重要
应用这些设置后,依赖于“运行方式”功能的任何功能都不起作用。
禁用辅助登录服务(seclogon.exe)。
使用软件限制策略或 AppLocker 阻止访问Runas.exe二进制文件。
使用组策略删除 “以不同的用户 菜单项身份运行”。 组策略对象(GPO)更改为用户配置\管理模板\“开始”菜单和任务栏\在“开始”上显示“以不同用户身份运行”命令。
在 Windows 注册表中,设置以下条目:
- 子项:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ - 条目名称:HideRunAsVerb
- 类型:DWORD
- 值:1
- 子项: