GPO - запуск скрипта с административными правами из под пользователя
 

Бывает, необходимо установить какую-нибудь службу через GPO при запуске системы, или вообще что-либо с административными правами при входу в систему пользователя с ограниченными правами.
При этом мы не имеем моральных прав компрометировать пароль учетной записи администратора, вводя его в тело любого .cmd-файла.
Решение следующее.
1. Выбираем нужную политику в консоли GPO
2. Входим в "Конфигурация пользователя" -> "Конфигурация Windows" -> "Сценарии (вход/выход из системы)" -> "Вход в систему"
3. Нажимаем кнопку "Добавить"
4. Добавляем файл (имя сценярия) cmd.cmd, содержание которого состоит всего лишь из: "@cmd.exe /c %1 %2 %3 %4 %5 %6 %7", при этом cmd.cmd должен находиться в папке исполняющейся политики на сервере.
5. В "Параметры сценария" вводим: "echo ADMIN_PASSWORD | runas /netonly /user:DOMAIN\ADMINACCOUNT &\\DOMAIN_ROOT\NETLOGON\bb4\script.cmd". Прошу обратить внимание на значок &. Он требуется для того, что бы пароль учетной записи с административными правами передавался не в конец строки скрипту, а команде runas. При этом решении пароль администраторской учетной записи хранится в реестре сервера.

В таком случае, умный пользователь набрав команду rsop.msc узнает пароль админа. Так что - не работает такой способ.

Действительно. Мне и в голову не пришло.
В таком случае, какие будут рекомендации? :)

Приведите более конкретный пример, что именно вы понимаете под "установить службу... пользователю..."

Написать элементарный батник с указанием пароля и конвернуть Bat в EXE файл. ПРограмм, делающих это, множество. Единственный минус - при смене пароля админом придется менять файлик заново.

Об этом способе я тоже не подумал :) Спасибо :)