AdmiLink - утилита, при помощи которой Администратор может создать ярлык, дающий возможность пользователям с ограниченными правами запускать конкретную (без возможности подмены!) программу с правами Администратора (или любого другого пользователя) без (интерактивного) ввода пароля.

Типичным применением программы AdmiLink является администрирование защищенных систем, в которых пользователь работает в основном под своей ограниченной учетной записью, и только отдельные, строго ограниченные Администратором функции запускает под Администратором, не зная его пароля и не имея возможности запускать другие, несанкционированные программы.

Другим типичным примером является использование AdmiLink для запуска потенциально опасных программ, например, Web браузера, с пониженными правами без ввода пароля. Так, чтобы избежать заражения машины вирусом, можно запускать Web браузер под учетной записью ограниченного пользователя, что резко снижает вероятность повреждения системы. Чтобы не вводить каждый раз пароль ограниченного пользователя, на Рабочем Столе можно сделать ярлык для запуска Web браузера под ограниченным пользователем.

Программа AdmiLink также содержит полезные дополнительные функции, нужные Администратору, такие как:
AdmiCalc - формульный калькулятор для выполнения расчетов, с поддержкой переменных и обширным набором стандартных функций.

AdmiCrypt - позволяет шифровать сообщения для передачи по открытому каналу связи, а также кодировать\декодировать сообщения в разных системах кодировки (HEX,URL,BASE64).

AdmiTerm - терминал для запуска программ, а также связи по именованным каналам, сокетам TCP/IP и последовательным COM-портам. Это полезно, например, если надо настраивать связь, измерительную аппаратуру, либо запускать программы в случае, когда, например, командный интерпретатор cmd.exe отключен Администратором из соображений безопасности.

AdmiGuard - утилита, содержащая набор средств для ограничения тех функций Windows, которые (потенциально) снижают защищенность системы. Позволяет, например, запрещать запуск командного интерпретатора, диспетчера задач, редактора реестра, контекстного меню, ограничивать доступ к дискам и сетевым ресурсам и т.д.

В общем, AdmiLink - хороший помощник Администратора, содержащий ряд уникальных функций, которые не так легко найти, тем более в одной, и притом свободной, программе.

Программа AdmiLink распространяется СВОБОДНО при условии некоммерческого использования.
Ее (пере)продажа или поставка в качестве компонента коммерческих продуктов без согласования с автором запрещена.

В случае некоммерческого использования программа AdmiLink поставляется "как есть", без каких-либо гарантий, явных или предполагаемых. Вы можете использовать ее на свой страх и риск.

В случае коммерческого использования программы AdmiLink, в том числе при ее включении в состав других коммерческих продуктов, необходимо письменное разрешение Автора. Условия распространения и гарантии в этом случае определяются договором с Заказчиком.

Автор программы: Алексей Курякин, 2005..2009, Саров, Россия, kouriakine@mail.ru.

Пример № 1 измерительная система
Есть измерительная установка, работающая с потенциально опасными объектами. Измерительная программа требует прав Администратора, так как ей нужен доступ к аппаратуре. Давать пользователям права Администратора нельзя, чтобы пользователи не могли сломать систему или чтобы пользователи не могли запускать посторонние программы, могущие нарушить работу установки. Конечно, запуск измерительной программы возможен через меню "Запустить от имени...", но при этом Администратор должен "ручками" вводить пароль. Это означает, что нормальная эксплуатация установки становится невозможной - ведь Администратор (как ни странно тоже человек и он не может постоянно присутствовать рядом с установкой.
Значит, нужно иметь утилиту для запуска конкретной программы от имени Администратора, но без интерактивного ввода пароля.

Пример № 2 дети, геймеры и ламеры
Есть ребенок (например, ваш). Он хочет играть в крутую игру, которая работает только под Администратором. А вам надоело периодически переставлять сломанную систему после того, как вы по доброте душевной допустили его в систему с правами Администратора. Конечно, запуск игры возможен через меню "Запустить от имени...", но при этом вам нужно "ручками" вводить пароль, что после десятого раза изрядно "достает".
Значит, опять нужно иметь утилиту для запуска конкретной программы от имени Администратора, но без интерактивного ввода пароля.

Но где взять такую утилиту и главное как это сделать, не нарушая системы защиты Windows?
Вот здесь-то вам и пригодится AdmiLink

Пример № 3 безопасный Web серфинг
Программа AdmiLink - хороший помощник для безопасной работы в сети Internet. Не секрет, что Web серфинг, то есть интенсивная работа с Web браузером в сети Интернет - довольно опасный "вид спорта". Известно, что наиболее частой причиной заражения компьютера вирусами является загрузка из сети и выполнение зараженных вирусами программ и скриптов. Особую опасность при этом представляют элементы ActiveX, а также Java скрипты, так как они могут выполнять программный код на стороне клиента, часто даже даже без санкции пользователя. В моей практике практически все случаи заражения машин происходили по вине Internet Explorer, в котором ActiveX и Java по умолчанию разрешены, а запрещать их все естественно забывают. Я был вынужден уйти на Mozilla FireFox, который защищен намного лучше, чего и всем рекомендую, но речь сейчас не об этом. Одной из "степеней защиты" при Web серфинге является запуск Web браузера в "карантинной зоне", то есть под ограниченным пользователем. Я даже использую специально созданного ограниченного пользователя, у которого помимо обычных ограничений запрещен также запуск командной строки, редактора реестра, диспетчера задач, ну и так далее.

Для запуска Web браузера и других программ, для которых желательна работа в "карантинной зоне" со специально ограниченными правами, при помощи AdmiLink создаются ярлыки, чтобы не вводить пароль при каждом запуске интересующих программ. Практика показала, что безопасность работы в сети при этом резко повышается, так как даже при загрузке вирусов у них не хватает прав для того, чтобы серьезно повредить систему, а последствия заражения устранять становится намного легче.

Пример № 4 безопасная работа и администрирование
Не думайте, что AdmiLink - удел параноиков, который нужен только для борьбы доблестных джедаев Администраторов с тупыми клонами Юзерами и коварными ситхами Хакерами. На самом деле AdmiLink будет полезен и самому Администратору, и продвинутым пользователям, которые сами себе Администраторы. Работая много лет в CERN (Центрально-Европейский центр ядерных исследований, Женева, Швейцария), где сильно развиты правильные традиции сообщества Unix, я увидел, что никто там (под Unix) обычно не работает с правами Администратора, даже сами Администраторы. Хочется администрировать - открывай консоль root или используй команду su, и делай что надо. Если пароль не хочется вводить, сделай настройки sudo - и пользуйся на здоровье. Под Windows привычка к безопасной работе стала вырабатываться много позже и (еще) не стала всеобщей. А жаль.

Вот пример, довольно близкий к реальности. Имеется сетевой архив для хранения всякой всячины, например, дистрибутивов: \\archive\distributions, который открыт для всех на чтение и только сетевому Администратору под пользователем root на запись. Сетевой Администратор, который администрирует архив, работает на своей машине (другой) под (ограниченным) пользователем bilbo, к примеру, и не имеет прав на запись в каталоге архивных дистрибутивов. Это значит, что Администратор не сможет случайно (а как Вы знаете людям свойственно ошибаться) удалить ценный дистрибутив, выполняя обычную работу. Чтобы выполнить удаление или запись дистрибутива в архив, надо зайти в систему под именем root, то есть предпринять некоторое осознанное действие, после чего можно будет делать все что нужно. Такой (правильный) подход не всеми используется, поскольку (некоторые) люди по природе своей ленивы и необходимость многократного ввода пароля их напрягает.

При помощи AdmiLink сетевой Администратор может сделать на своем Рабочем Столе или где-то еще ярлык для запуска любимого файлового менеджера, например, Total Commander, под пользователем root. Поскольку AdmiLink позволяет избежать ввода пароля, можно не держать файловый менеджер, запущенный под root, постоянно открытым, а запускать его всякий раз, когда требуется делать запись в архив дистрибутивов, и сразу закрывать его, когда он больше не нужен. Получается довольно сильное облегчение работы, при этом без потери безопасности. Разумеется, другие пользователи доступа на машину Администратора не имеют, иначе создавать ярлыки для Total Commander было бы опасно.

Вообще имеет смысл создавать несколько ярлыков (того же Total Commander, например) для выполнения разного рода администраторских работ. Можно администрировать несколько доменов, каждый под своим пользователем. Можно создавать несколько пользователей, каждый из которых имеет права для выполнение какой-то группы критических операций. Ярлыки AdmiLink при этом помогут быстро запускать нужные утилиты под нужными пользователями, что существенно облегчит жизнь Администратора.