Как я могу автоматически поднять свой пакетный файл, чтобы он запрашивал права администратора UAC, если это необходимо?

Я хочу, чтобы мой командный файл работал только с повышенными правами. Если уровень не повышен, предоставьте пользователю возможность перезапустить пакет с повышенными правами.

Я пишу командный файл для установки системной переменной, копирую два файла в папку Program Files и запускаю установщик драйвера. Если пользователь Windows 7 / Windows Vista ( UAC включен и даже если он является локальным администратором) запускает его без щелчка правой кнопкой мыши и выбора «Запуск от имени администратора», он получит «Отказано в доступе», скопировав два файла и записав системную переменную. ,

Я хотел бы использовать команду для автоматического перезапуска пакета с повышенными правами, если пользователь фактически является администратором. В противном случае, если они не администратор, я хочу сказать им, что им нужны права администратора для запуска командного файла. Я использую xcopy для копирования файлов и REG ADD для записи системной переменной. Я использую эти команды для работы с возможными компьютерами с Windows XP. Я нашел похожие вопросы по этой теме, но ничего, что касалось перезапуска командного файла с повышенными правами.

Вы можете иметь вызов сценария сам с Psexec «s -hвариантом запуска повышен.

Я не уверен, как вы могли бы определить, работает ли он с повышенными правами или нет ... может быть, повторите попытку с повышенными привилегиями только в случае ошибки «Отказано в доступе»?

Или вы можете просто использовать команды для xcopyи reg.exeвсегда запускать их psexec -h, но для конечного пользователя будет раздражать, если ему нужно будет каждый раз вводить свой пароль (или небезопасно, если вы включите пароль в сценарий) ...

Существует простой способ без необходимости использования внешнего инструмента - он отлично работает с Windows 7, 8, 8.1 и 10 и обратно совместим (также Windows XP не имеет UAC, поэтому повышение прав не требуется - в этом на всякий случай скрипт просто продолжается).

Проверьте этот код (я был вдохновлен кодом от NIronwolf, размещенным в ветке Batch File - «Доступ запрещен» в Windows 7? ), Но я улучшил его - в моей версии нет никакого каталога, созданного и удаленного для проверьте наличие прав администратора):

::::::::::::::::::::::::::::::::::::::::::::
:: Elevate.cmd - Version 4
:: Automatically check & get admin rights
:: see "https://stackoverflow.com/a/12264592/1016343" for description
::::::::::::::::::::::::::::::::::::::::::::
 @echo off
 CLS
 ECHO.
 ECHO =============================
 ECHO Running Admin shell
 ECHO =============================

:init
 setlocal DisableDelayedExpansion
 set cmdInvoke=1
 set winSysFolder=System32
 set "batchPath=%~0"
 for %%k in (%0) do set batchName=%%~nk
 set "vbsGetPrivileges=%temp%\OEgetPriv_%batchName%.vbs"
 setlocal EnableDelayedExpansion

:checkPrivileges
  NET FILE 1>NUL 2>NUL
  if '%errorlevel%' == '0' ( goto gotPrivileges ) else ( goto getPrivileges )

:getPrivileges
  if '%1'=='ELEV' (echo ELEV & shift /1 & goto gotPrivileges)
  ECHO.
  ECHO **************************************
  ECHO Invoking UAC for Privilege Escalation
  ECHO **************************************

  ECHO Set UAC = CreateObject^("Shell.Application"^) > "%vbsGetPrivileges%"
  ECHO args = "ELEV " >> "%vbsGetPrivileges%"
  ECHO For Each strArg in WScript.Arguments >> "%vbsGetPrivileges%"
  ECHO args = args ^& strArg ^& " "  >> "%vbsGetPrivileges%"
  ECHO Next >> "%vbsGetPrivileges%"

  if '%cmdInvoke%'=='1' goto InvokeCmd 

  ECHO UAC.ShellExecute "!batchPath!", args, "", "runas", 1 >> "%vbsGetPrivileges%"
  goto ExecElevation

:InvokeCmd
  ECHO args = "/c """ + "!batchPath!" + """ " + args >> "%vbsGetPrivileges%"
  ECHO UAC.ShellExecute "%SystemRoot%\%winSysFolder%\cmd.exe", args, "", "runas", 1 >> "%vbsGetPrivileges%"

:ExecElevation
 "%SystemRoot%\%winSysFolder%\WScript.exe" "%vbsGetPrivileges%" %*
 exit /B

:gotPrivileges
 setlocal & cd /d %~dp0
 if '%1'=='ELEV' (del "%vbsGetPrivileges%" 1>nul 2>nul  &  shift /1)

 ::::::::::::::::::::::::::::
 ::START
 ::::::::::::::::::::::::::::
 REM Run shell as admin (example) - put here code as you like
 ECHO %batchName% Arguments: P1=%1 P2=%2 P3=%3 P4=%4 P5=%5 P6=%6 P7=%7 P8=%8 P9=%9
 cmd /k

Сценарий использует тот факт, что NET FILEтребует прав администратора и возвращается, errorlevel 1если у вас его нет. Повышение достигается путем создания сценария, который повторно запускает пакетный файл для получения привилегий. Это заставляет Windows представить диалоговое окно UAC и запрашивает учетную запись администратора и пароль.

Я проверил его с Windows 7, 8, 8.1, 10 и с Windows XP - он отлично работает для всех. Преимущество заключается в том, что после начальной точки вы можете разместить все, что требует привилегий системного администратора, например, если вы собираетесь переустановить и повторно запустить службу Windows для целей отладки (предполагается, что mypackage.msi является пакетом установки службы) :

msiexec /passive /x mypackage.msi
msiexec /passive /i mypackage.msi
net start myservice

Без этого сценария повышения привилегий UAC трижды запросил бы у вас имя пользователя и пароль администратора - теперь вас спрашивают только один раз в начале и только при необходимости.

Если вашему сценарию просто нужно показать сообщение об ошибке и выйти, если у него нет прав администратора вместо автоматического повышения, это еще проще: это можно сделать, добавив в начало сценария следующее:

@ECHO OFF & CLS & ECHO.
NET FILE 1>NUL 2>NUL & IF ERRORLEVEL 1 (ECHO You must right-click and select &
  ECHO "RUN AS ADMINISTRATOR"  to run this batch. Exiting... & ECHO. &
  PAUSE & EXIT /D)
REM ... proceed here with admin rights ...

Таким образом, пользователь должен щелкнуть правой кнопкой мыши и выбрать «Запуск от имени администратора» . Сценарий будет продолжен после REMоператора, если обнаружит права администратора, в противном случае завершится с ошибкой. Если вам не требуется PAUSE, просто удалите его. Важно: NET FILE [...] EXIT /D) должно быть на одной линии. Это отображается здесь в несколько строк для лучшей читаемости!

На некоторых машинах я столкнулся с проблемами, которые уже решены в новой версии выше. Одна из них была связана с другой обработкой двойных кавычек, а другая проблема была связана с тем, что UAC был отключен (установлен на самый низкий уровень) на компьютере с Windows 7, поэтому скрипт вызывает себя снова и снова.

Я исправил это сейчас, убрав кавычки в пути и добавив их позже, и добавил дополнительный параметр, который добавляется при повторном запуске сценария с повышенными правами.

Двойные кавычки удаляются следующим (подробности здесь ):

setlocal DisableDelayedExpansion
set "batchPath=%~0"
setlocal EnableDelayedExpansion

Затем вы можете получить доступ к пути с помощью !batchPath!. Он не содержит двойных кавычек, так что это можно сказать "!batchPath!"позже в сценарии.

Линия

if '%1'=='ELEV' (shift & goto gotPrivileges)

проверяет, был ли сценарий уже вызван сценарием VBScript для повышения прав, что позволяет избежать бесконечных рекурсий. Удаляет параметр используя shift.

Обновить:

• Чтобы избежать регистрации .vbsрасширения в Windows 10 , я заменил строку
  "%temp%\OEgetPrivileges.vbs"
  на
  "%SystemRoot%\System32\WScript.exe" "%temp%\OEgetPrivileges.vbs"
  в приведенном выше сценарии; также добавлено cd /d %~dp0по предложению Стивена (отдельный ответ) и Томаша Зато (комментарий), чтобы установить каталог скриптов по умолчанию.

• Теперь скрипт учитывает параметры командной строки, передаваемые ему. Спасибо jxmallet, TanisDLJ и Peter Mortensen за наблюдения и вдохновение.

• Согласно подсказке Артжома Б., я проанализировал его и заменил SHIFTна SHIFT /1, который сохраняет имя файла для %0параметра

• Добавлено del "%temp%\OEgetPrivileges_%batchName%.vbs"в :gotPrivilegesраздел для очистки (как предложено MLT ). Добавлено, %batchName%чтобы избежать влияния, если вы запускаете разные партии параллельно. Обратите внимание, что вам нужно использовать, forчтобы иметь возможность воспользоваться расширенными строковыми функциями, такими как %%~nk, который извлекает только имя файла.

• Оптимизированная структура скрипта, улучшения (добавлена ​​переменная, на vbsGetPrivilegesкоторую теперь ссылаются все, что позволяет легко изменять путь или имя файла, удалять .vbsфайл только в том случае, если требуется повысить пакет)

• В некоторых случаях для повышения прав потребовался другой синтаксис вызова. Если сценарий не работает, проверьте следующие параметры:
  set cmdInvoke=0
set winSysFolder=System32
  либо измените 1-й параметр на set cmdInvoke=1и проверьте, устраняет ли это уже проблему. Это добавит cmd.exeк сценарию выполнения возвышения.
  Или попробуйте изменить второй параметр на winSysFolder=Sysnative, это может помочь (но в большинстве случаев не требуется) в 64-битных системах. (ADBailey сообщил об этом). «Sysnative» требуется только для запуска 64-разрядных приложений с 32-разрядного хоста сценария (например, процесс сборки Visual Studio или вызов сценария из другого 32-разрядного приложения).

• Чтобы было понятнее, как интерпретируются параметры, я теперь отображаю это следующим образом P1=value1 P2=value2 ... P9=value9. Это особенно полезно, если вам нужно заключить такие параметры, как пути, в двойные кавычки, например "C:\Program Files".

• Если вы хотите отладить сценарий VBS, вы можете добавить //Xпараметр в WScript.exe в качестве первого параметра, как предлагается здесь (он описан для CScript.exe, но работает и для WScript.exe).

Полезные ссылки:

• Значение специальных символов в пакетном файле:
  кавычки (") , удар (!) , Каретка (^) , амперсанд (&) , другие специальные символы

Как упоминали jcoder и Matt, PowerShell сделал это легко, и его даже можно было встроить в пакетный скрипт без создания нового скрипта.

Я изменил сценарий Мэтта:

:: Check privileges 
net file 1>NUL 2>NUL
if not '%errorlevel%' == '0' (
    powershell Start-Process -FilePath "%0" -ArgumentList "%cd%" -verb runas >NUL 2>&1
    exit /b
)

:: Change directory with passed argument. Processes started with
:: "runas" start with forced C:\Windows\System32 workdir
cd /d %1

:: Actual work

Я использую отличный ответ Мэтта, но я вижу разницу между моими системами Windows 7 и Windows 8 при запуске сценариев с повышенными правами.

Как только сценарий повышен в Windows 8, текущий каталог устанавливается в C:\Windows\system32. К счастью, существует простой обходной путь, если изменить текущий каталог на путь к текущему сценарию:

cd /d %~dp0

Примечание. Используйте, cd /dчтобы убедиться, что буква диска также изменилась.

Чтобы проверить это, вы можете скопировать следующее в скрипт. Запустите нормально на любой версии, чтобы увидеть тот же результат. Запустите от имени администратора и увидите разницу в Windows 8:

@echo off
echo Current path is %cd%
echo Changing directory to the path of the current script
cd %~dp0
echo Current path is %cd%
pause

Я делаю это так:

NET SESSION
IF %ERRORLEVEL% NEQ 0 GOTO ELEVATE
GOTO ADMINTASKS

:ELEVATE
CD /d %~dp0
MSHTA "javascript: var shell = new ActiveXObject('shell.application'); shell.ShellExecute('%~nx0', '', '', 'runas', 1);close();"
EXIT

:ADMINTASKS
(Do whatever you need to do here)
EXIT

Таким образом, это просто и использовать только команды Windows по умолчанию. Это здорово, если вам нужно распространять пакетный файл.

CD /d %~dp0Устанавливает текущий каталог в текущий каталог файла (если его нет, независимо от того, на каком диске находится файл, благодаря /dопции).

%~nx0 Возвращает текущее имя файла с расширением (если вы не включите расширение и в папке есть исполняемый файл с тем же именем, он вызовет исполняемый файл).

На это сообщение так много ответов, что я даже не знаю, увидят ли мой ответ.

В любом случае, я нахожу этот способ проще, чем другие решения, предложенные в других ответах, надеюсь, это кому-нибудь поможет.

У Мэтта отличный ответ, но он убирает все аргументы, переданные сценарию. Вот моя модификация, которая сохраняет аргументы. Я также включил исправление Стивена для проблемы с рабочим каталогом в Windows 8.

@ECHO OFF
setlocal EnableDelayedExpansion

NET FILE 1>NUL 2>NUL
if '%errorlevel%' == '0' ( goto START ) else ( goto getPrivileges ) 

:getPrivileges
if '%1'=='ELEV' ( goto START )

set "batchPath=%~f0"
set "batchArgs=ELEV"

::Add quotes to the batch path, if needed
set "script=%0"
set script=%script:"=%
IF '%0'=='!script!' ( GOTO PathQuotesDone )
    set "batchPath=""%batchPath%"""
:PathQuotesDone

::Add quotes to the arguments, if needed.
:ArgLoop
IF '%1'=='' ( GOTO EndArgLoop ) else ( GOTO AddArg )
    :AddArg
    set "arg=%1"
    set arg=%arg:"=%
    IF '%1'=='!arg!' ( GOTO NoQuotes )
        set "batchArgs=%batchArgs% "%1""
        GOTO QuotesDone
        :NoQuotes
        set "batchArgs=%batchArgs% %1"
    :QuotesDone
    shift
    GOTO ArgLoop
:EndArgLoop

::Create and run the vb script to elevate the batch file
ECHO Set UAC = CreateObject^("Shell.Application"^) > "%temp%\OEgetPrivileges.vbs"
ECHO UAC.ShellExecute "cmd", "/c ""!batchPath! !batchArgs!""", "", "runas", 1 >> "%temp%\OEgetPrivileges.vbs"
"%temp%\OEgetPrivileges.vbs" 
exit /B

:START
::Remove the elevation tag and set the correct working directory
IF '%1'=='ELEV' ( shift /1 )
cd /d %~dp0

::Do your adminy thing here...

Я использую PowerShell, чтобы перезапустить сценарий с повышенными правами, если это не так. Поместите эти строки в самый верх вашего сценария.

net file 1>nul 2>nul && goto :run || powershell -ex unrestricted -Command "Start-Process -Verb RunAs -FilePath '%comspec%' -ArgumentList '/c %~fnx0 %*'"
goto :eof
:run
:: TODO: Put code here that needs elevation

Я скопировал метод 'net name' из ответа @ Matt. Его ответ гораздо лучше задокументирован и содержит сообщения об ошибках и тому подобное. Преимущество этого заключается в том, что PowerShell уже установлен и доступен в Windows 7 и более поздних версиях. Нет временных файлов VBScript (* .vbs), и вам не нужно загружать инструменты.

Этот метод должен работать без какой-либо настройки или настройки, если ваши разрешения на выполнение PowerShell не заблокированы.

Для некоторых программ установка суперсекретной __COMPAT_LAYERпеременной среды RunAsInvoker будет работать. Проверьте это:

set "__COMPAT_LAYER=RunAsInvoker"
start regedit.exe

Хотя, как это, UAC не будет предлагать пользователю продолжить работу без прав администратора.

Я вставил это в начале сценария:

:: BatchGotAdmin
:-------------------------------------
REM  --> Check for permissions
>nul 2>&1 "%SYSTEMROOT%\system32\icacls.exe" "%SYSTEMROOT%\system32\config\system"

REM --> If error flag set, we do not have admin.
if '%errorlevel%' NEQ '0' (
    echo Requesting administrative privileges...
    goto UACPrompt
) else ( goto gotAdmin )

:UACPrompt
    echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
    echo args = "" >> "%temp%\getadmin.vbs"
    echo For Each strArg in WScript.Arguments >> "%temp%\getadmin.vbs"
    echo args = args ^& strArg ^& " "  >> "%temp%\getadmin.vbs"
    echo Next >> "%temp%\getadmin.vbs"
    echo UAC.ShellExecute "%~s0", args, "", "runas", 1 >> "%temp%\getadmin.vbs"

    "%temp%\getadmin.vbs" %*
    exit /B

:gotAdmin
    if exist "%temp%\getadmin.vbs" ( del "%temp%\getadmin.vbs" )
    pushd "%CD%"
    CD /D "%~dp0"
:--------------------------------------

Я написал gsudo, для окон : что возвышает в текущей консоли (контекста не переключение в новое окно), с кэшем мандатных (уменьшенная UAC всплывающих окон), а также возводит команду PowerShell .sudo

Это позволяет поднять команды, которые требуют прав администратора, или весь пакет, если хотите. Просто подготовьтесь, gsudo прежде чем что-либо, что должно работать с повышенными правами.

Пример командного файла, который поднимается с помощью gsudo:

РЕДАКТИРОВАТЬ: Новая версия с одним вкладышем, которая работает с любым языком Windows и позволяет избежать проблем с whoami :

net session >nul 2>nul & net session >nul 2>nul || gsudo "%~f0" && exit /b || exit /b
:: This will run as admin ::

Альтернатива (оригинальная версия):

@echo off
  rem Test if current context is already elevated:
  whoami /groups | findstr /b BUILTIN\Administrators | findstr /c:"Enabled group" 1> nul 2>nul && goto :isadministrator
  echo You are not admin. (yet)
  :: Use gsudo to launch this batch file elevated.
  gsudo "%~f0"
  goto end
:isadministrator
  echo You are admin.
  echo (Do admin stuff now).
:end

Установка:

• через шоколадку: choco install gsudo
• или совок: scoop install gsudo
• или скачайте его с github: https://github.com/gerardog/gsudo

Смотрите gsudo в действии:

Хотя это не относится непосредственно к этому вопросу, потому что он хочет получить некоторую информацию для пользователя, Google привел меня сюда, когда я хотел запустить мой .bat-файл с повышенными правами из планировщика задач.

Простейшим подходом было создать ярлык для файла .bat, потому что ярлык можно установить Run as administratorпрямо из расширенных свойств.

Запустив ярлык из планировщика задач, запустим файл .bat с повышенными правами.

Если вам не нужно передавать аргументы, вот компактный сценарий запроса UAC длиной в одну строку. Это делает то же самое, что и сценарий повышения прав в ответе с верхним голосом, но не передает аргументы, поскольку нет надежного способа сделать это, обрабатывая все возможные комбинации ядовитых символов.

@echo off
net sess>nul 2>&1||(echo(CreateObject("Shell.Application"^).ShellExecute"%~0",,,"RunAs",1:CreateObject("Scripting.FileSystemObject"^).DeleteFile(wsh.ScriptFullName^)>"%temp%\%~nx0.vbs"&start wscript.exe "%temp%\%~nx0.vbs"&exit)

:: Your batch file goes here

Использование powershell.

Если cmd-файл длинный, я использую первый, требующий повышения прав, а затем вызываю тот, который выполняет реальную работу.

Если скрипт простая команда, все может поместиться в одном файле cmd. Не забудьте указать путь к файлам скрипта.

Шаблон:

@echo off
powershell -Command "Start-Process 'cmd' -Verb RunAs -ArgumentList '/c " comands or another script.cmd go here "'"

Пример 1:

@echo off
powershell -Command "Start-Process 'cmd' -Verb RunAs -ArgumentList '/c "powershell.exe -NoProfile -ExecutionPolicy Bypass -File C:\BIN\x.ps1"'"

Пример 2:

@echo off
powershell -Command "Start-Process 'cmd' -Verb RunAs -ArgumentList '/c "c:\bin\myScript.cmd"'"

Попробуй это:

@echo off
CLS
:init
setlocal DisableDelayedExpansion
set cmdInvoke=1
set winSysFolder=System32
set "batchPath=%~0"
for %%k in (%0) do set batchName=%%~nk
set "vbsGetPrivileges=%temp%\OEgetPriv_%batchName%.vbs"
setlocal EnableDelayedExpansion
:checkPrivileges
NET FILE 1>NUL 2>NUL
if '%errorlevel%' == '0' ( goto gotPrivileges ) else ( goto getPrivileges )
:getPrivileges
if '%1'=='ELEV' (echo ELEV & shift /1 & goto gotPrivileges)
ECHO.
ECHO Set UAC = CreateObject^("Shell.Application"^) > "%vbsGetPrivileges%"
ECHO args = "ELEV " >> "%vbsGetPrivileges%"
ECHO For Each strArg in WScript.Arguments >> "%vbsGetPrivileges%"
ECHO args = args ^& strArg ^& " "  >> "%vbsGetPrivileges%"
ECHO Next >> "%vbsGetPrivileges%"
if '%cmdInvoke%'=='1' goto InvokeCmd 
ECHO UAC.ShellExecute "!batchPath!", args, "", "runas", 1 >> "%vbsGetPrivileges%"
goto ExecElevation
:InvokeCmd
ECHO args = "/c """ + "!batchPath!" + """ " + args >> "%vbsGetPrivileges%"
ECHO UAC.ShellExecute "%SystemRoot%\%winSysFolder%\cmd.exe", args, "", "runas", 1 >> "%vbsGetPrivileges%"
:ExecElevation
"%SystemRoot%\%winSysFolder%\WScript.exe" "%vbsGetPrivileges%" %*
exit /B
:gotPrivileges
setlocal & cd /d %~dp0
if '%1'=='ELEV' (del "%vbsGetPrivileges%" 1>nul 2>nul  &  shift /1)
REM Run shell as admin (example) - put here code as you like
ECHO %batchName% Arguments: P1=%1 P2=%2 P3=%3 P4=%4 P5=%5 P6=%6 P7=%7 P8=%8 P9=%9
cmd /k

Если вам нужна информация об этом пакетном файле, запустите фрагмент кода HTML / JS / CSS:

document.getElementsByTagName("data")[0].innerHTML="ElevateBatch, version 4, release<br>Required Commands:<ul><li>CLS</li><li>SETLOCAL</li><li>SET</li><li>FOR</li><li>NET</li><li>IF</li><li>ECHO</li><li>GOTO</li><li>EXIT</li><li>DEL</li></ul>It auto-elevates the system and if the user presses No, it just doesn't do anything.<br>This CANNOT be used to create an Elevated Explorer.";

data{font-family:arial;text-decoration:none}

<data></data>

Следующее решение является чистым и работает отлично.

1. Загрузите почтовый файл Elevate по адресу https://www.winability.com/download/Elevate.zip.

2. Внутри zip вы должны найти два файла: Elevate.exe и Elevate64.exe. (Последняя представляет собой встроенную 64-разрядную компиляцию, если вам требуется, хотя обычная 32-разрядная версия Elevate.exe должна нормально работать как с 32-, так и с 64-разрядными версиями Windows)

3. Скопируйте файл Elevate.exe в папку, где Windows всегда может его найти (например, C: / Windows). Или вы лучше можете скопировать в ту же папку, где вы планируете сохранить файл bat.

4. Чтобы использовать его в командном файле, просто добавьте команду, которую вы хотите выполнить от имени администратора, с помощью команды elevate, например:

 elevate net start service ...