Miért jó a rendszer biztonsága szempontjából, ha nincs senkinek rendszergazdai jogosultsága? A helyzet az, hogy rendszergazdai jogosultságra szükség van, különben nem lehetne még a legalapvetőbb adminisztrátori feladatokat sem ellátni. Más kérdés, hogy csak szükséges esetben kell használni. Minden objektumhoz (fájlokhoz, mappákhoz, WMI névterekhez, stb.) beállítható, hogy kik és milyen hatáskörrel férhetnek hozzá. Ez érvényes az egész operációs rendszerre. Ha valaki futtat egy programot vagy egy szkriptet és az megpróbál elérni egy rendszerobjektumot, akkor a futtató felhasználó neve és jelszava átadódik az elérendő objektumnak. Elégséges jogosultság esetén lehetségessé válik a hozzáférés, ellenkező esetben hibaüzenetet kapunk. A trójai faló (Trojan horse) vírusok remekül vissza tudnak élni ezzel a lehetőséggel. A felhasználó észre sem veszi, hogy egy vírusos fájlt futtat, de a vírus birtokába kerül a nevünk és jelszavunk. Ezzel aztán már azt csinál a rendszerben amit akar - meg amit tud. Nyilván egy "Vállalati rendszergazda" jogkör ily módon történő elvesztése sokkal nagyobb károknak lehet a táptalaja, mint egy "sima" felhasználói azonosító. Probléma nem csak fájlok futtatásánál, hanem rendszergazdaként való Internetezéssel is felmerülhet. Hiába van vírusirtó, tűzfal és egyéb védelmi szoftver telepítve soha nem lehet tudni, hogy a többszörös védelmi falon mikor hatol át egy új kártevő. Melegen javasolt a rendszergazdák számára, hogy hozzanak létre saját részükre egy felhasználói fiókot és ezt használják. Rendszergazdaként csak a legszükségesebb esetekben jelentkezzenek be.
Ez eddig rendben is van, de mi van akkor, ha csak egy-két feladatot kell ellátni így, viszont azt gyakran. Ekkor használhatjuk a RUNAS parancsot vagy a kényelem fokozása érdekében parancsikont is elhelyezhetünk az asztalon. Ahhoz, hogy egy programot más felhasználóként indítsunk a Windows Intézőben (Windows Explorer) kattintsunk például egy .EXE fájlra a jobb oldali egérgombbal és lépjünk a "Futtatás mint" ("Run as") menüre. Választhatunk, hogy a jelenlegi vagy egy másik felhasználóként indítjuk a programot. Ha másikat választunk, akkor a nevén kívül a jelszavát is meg kell adni. A futtatott program ezután a rendszereléréseket ezekkel az adatokkal hajtja végre. A segédprogramnak megtalálható a parancssori megfelelője is. Ezzel már tényleg jelentősen kibővülnek a lehetőségek, nem csak parancsikon létrehozás miatt, hanem mert batch fájlban is elhelyezhetővé válik.
Nézzünk meg néhány alkalmazási példát:
Indítsunk el egy parancssori ablakot (WIN + R > cmd). Tegyük fel, hogy az aktuális könyvtárban található "wincmd32.exe" alkalmazást akarjuk elindítani a "Proba" nevű felhasználó adataival. Adjuk ki a következő parancsot:
runas /user:proba wincmd32.exe
Talán még az is feltűnik, hogy a program egy kicsit lassabban indul, mint egyéb esetben. Ez azért van, mert betöltődik a felhasználó profilja is. Ha nem töltjük be, akkor gyorsabban indulnak a programok, de lehet, hogy nem fog mindegyik futni.
runas /noprofile /user:proba wincmd32.exe
A /env kapcsolóval megadható az is, hogy az aktuális hálózati környezetben és ne a felhasználó helyi környezetében fusson a program.
runas /env /user:proba wincmd32.exe
Csak hálózaton keresztül végzett futtatásnál - távoli hozzáférésnél a /netonly kapcsolóra lesz szükségünk.
runas /netonly /user:proba wincmd32.exe
Név és jelszó tárolható úgynevezett intelligens kártyákon (smart card). A Windows 2000 óta beépített támogatása van ezeknek az eszközöknek. Még ebben a parancssori segédprogramban is tudjuk használni. Nem kell mást tenni, mint megadni a kártya olvasását kérő kapcsolót (értelemszerűen nem kell nevet és jelszót megadni).
runas /smartcard wincmd32.exe
Előfordulhat, hogy a felhasználói információk nem a helyi gépen, hanem a hálózat egy másik gépen találhatók. Tegyük fel, hogy a DOMAIN nevű tartományban van telepítve egy PROBA2 felhasználói fiók és mi ezzel akarjuk futtatni a programunkat. Ekkor a következő módon kell megadni a nevet.
runas /user:domain\proba wincmd32.exe
vagy
runas /user:proba@domain wincmd32.exe
További példák:
Vezérlőpult (Control Panel) megnyitása:
runas /user:proba control.exe
Az Internet Information Services (IIS) szolgáltatás kezelő konzoljának megnyitása:
runas /user:proba "mmc %windir%\system32\inetsrv\iis.msc"