Come posso elevare automaticamente il mio file batch, in modo che possa richiedere i diritti di amministratore UAC se necessario?

Voglio che il mio file batch funzioni solo in modo elevato. Se non elevato, fornire all'utente la possibilità di riavviare il batch come elevato.

Sto scrivendo un file batch per impostare una variabile di sistema, copiare due file in un percorso di Programmi e avviare un programma di installazione del driver. Se un utente di Windows 7 / Windows Vista ( UAC abilitato e anche se si tratta di un amministratore locale) lo esegue senza fare clic con il pulsante destro del mouse e selezionando "Esegui come amministratore", otterrà "Accesso negato" copiando i due file e scrivendo la variabile di sistema .

Vorrei utilizzare un comando per riavviare automaticamente il batch come elevato se l'utente è in realtà un amministratore. Altrimenti, se non sono amministratori, voglio dire loro che hanno bisogno dei privilegi di amministratore per eseguire il file batch. Sto usando xcopy per copiare i file e REG ADD per scrivere la variabile di sistema. Sto usando quei comandi per gestire possibili macchine Windows XP. Ho trovato domande simili su questo argomento, ma nulla che riguarda il riavvio di un file batch come elevato.

Puoi fare in modo che lo script si chiami da solo con l' opzione psexec-h per eseguire l'elevazione.

Non sono sicuro di come potresti rilevare se è già in esecuzione come elevato o no ... forse riprovare con permanenti elevati solo se si verifica un errore Accesso negato?

Oppure, potresti semplicemente avere i comandi per xcopye reg.exeessere sempre eseguito con psexec -h, ma sarebbe fastidioso per l'utente finale se hanno bisogno di inserire la password ogni volta (o insicuro se hai incluso la password nello script) ...

Esiste un modo semplice senza la necessità di utilizzare uno strumento esterno: funziona bene con Windows 7, 8, 8.1 e 10 ed è anche retrocompatibile (Windows XP non ha alcun controllo dell'account utente, quindi non è necessaria l'elevazione) in quanto caso lo script procede).

Dai un'occhiata a questo codice (mi sono ispirato al codice di NIronwolf pubblicato nel thread File batch - "Accesso negato" su Windows 7? ), Ma l'ho migliorato - nella mia versione non esiste alcuna directory creata e rimossa in verifica i privilegi di amministratore):

::::::::::::::::::::::::::::::::::::::::::::
:: Elevate.cmd - Version 4
:: Automatically check & get admin rights
:: see "https://stackoverflow.com/a/12264592/1016343" for description
::::::::::::::::::::::::::::::::::::::::::::
 @echo off
 CLS
 ECHO.
 ECHO =============================
 ECHO Running Admin shell
 ECHO =============================

:init
 setlocal DisableDelayedExpansion
 set cmdInvoke=1
 set winSysFolder=System32
 set "batchPath=%~0"
 for %%k in (%0) do set batchName=%%~nk
 set "vbsGetPrivileges=%temp%\OEgetPriv_%batchName%.vbs"
 setlocal EnableDelayedExpansion

:checkPrivileges
  NET FILE 1>NUL 2>NUL
  if '%errorlevel%' == '0' ( goto gotPrivileges ) else ( goto getPrivileges )

:getPrivileges
  if '%1'=='ELEV' (echo ELEV & shift /1 & goto gotPrivileges)
  ECHO.
  ECHO **************************************
  ECHO Invoking UAC for Privilege Escalation
  ECHO **************************************

  ECHO Set UAC = CreateObject^("Shell.Application"^) > "%vbsGetPrivileges%"
  ECHO args = "ELEV " >> "%vbsGetPrivileges%"
  ECHO For Each strArg in WScript.Arguments >> "%vbsGetPrivileges%"
  ECHO args = args ^& strArg ^& " "  >> "%vbsGetPrivileges%"
  ECHO Next >> "%vbsGetPrivileges%"

  if '%cmdInvoke%'=='1' goto InvokeCmd 

  ECHO UAC.ShellExecute "!batchPath!", args, "", "runas", 1 >> "%vbsGetPrivileges%"
  goto ExecElevation

:InvokeCmd
  ECHO args = "/c """ + "!batchPath!" + """ " + args >> "%vbsGetPrivileges%"
  ECHO UAC.ShellExecute "%SystemRoot%\%winSysFolder%\cmd.exe", args, "", "runas", 1 >> "%vbsGetPrivileges%"

:ExecElevation
 "%SystemRoot%\%winSysFolder%\WScript.exe" "%vbsGetPrivileges%" %*
 exit /B

:gotPrivileges
 setlocal & cd /d %~dp0
 if '%1'=='ELEV' (del "%vbsGetPrivileges%" 1>nul 2>nul  &  shift /1)

 ::::::::::::::::::::::::::::
 ::START
 ::::::::::::::::::::::::::::
 REM Run shell as admin (example) - put here code as you like
 ECHO %batchName% Arguments: P1=%1 P2=%2 P3=%3 P4=%4 P5=%5 P6=%6 P7=%7 P8=%8 P9=%9
 cmd /k

Lo script sfrutta il fatto che NET FILErichiede il privilegio di amministratore e restituisce errorlevel 1se non lo possiedi. L'elevazione si ottiene creando uno script che riavvia il file batch per ottenere i privilegi. In questo modo Windows presenta la finestra di dialogo Controllo account utente e richiede l'account e la password dell'amministratore.

L'ho provato con Windows 7, 8, 8.1, 10 e con Windows XP - funziona bene per tutti. Il vantaggio è che, dopo il punto di partenza, è possibile inserire qualsiasi cosa che richieda i privilegi di amministratore di sistema, ad esempio, se si intende reinstallare e rieseguire un servizio Windows per scopi di debug (si presuppone che mypackage.msi sia un pacchetto di installazione del servizio) :

msiexec /passive /x mypackage.msi
msiexec /passive /i mypackage.msi
net start myservice

Senza questo privilegio che eleva lo script, Controllo dell'account utente ti richiederebbe tre volte il nome utente e la password dell'amministratore: ora ti verrà chiesto solo una volta all'inizio e solo se necessario.

Se il tuo script deve solo mostrare un messaggio di errore ed uscire se non ci sono privilegi di amministratore invece di elevazione automatica, questo è ancora più semplice: puoi farlo aggiungendo quanto segue all'inizio del tuo script:

@ECHO OFF & CLS & ECHO.
NET FILE 1>NUL 2>NUL & IF ERRORLEVEL 1 (ECHO You must right-click and select &
  ECHO "RUN AS ADMINISTRATOR"  to run this batch. Exiting... & ECHO. &
  PAUSE & EXIT /D)
REM ... proceed here with admin rights ...

In questo modo, l'utente deve fare clic con il tasto destro e selezionare "Esegui come amministratore" . Lo script continuerà dopo l' REMistruzione se rileva i diritti di amministratore, altrimenti esce con un errore. Se non è necessario il PAUSE, basta rimuoverlo. Importante: NET FILE [...] EXIT /D) deve essere sulla stessa linea. Viene visualizzato qui in più righe per una migliore leggibilità!

Su alcune macchine, ho riscontrato problemi, che sono già stati risolti nella nuova versione precedente. Uno era dovuto alla diversa gestione delle virgolette doppie e l'altro era dovuto al fatto che UAC era disabilitato (impostato al livello più basso) su un computer Windows 7, quindi lo script si chiama più e più volte.

Ho risolto questo problema rimuovendo le virgolette nel percorso e ri-aggiungendole in seguito, e ho aggiunto un parametro aggiuntivo che viene aggiunto quando lo script si riavvia con diritti elevati.

Le doppie virgolette vengono rimosse da quanto segue (i dettagli sono qui ):

setlocal DisableDelayedExpansion
set "batchPath=%~0"
setlocal EnableDelayedExpansion

È quindi possibile accedere al percorso utilizzando !batchPath!. Non contiene virgolette doppie, quindi è sicuro dirlo "!batchPath!"più avanti nello script.

La linea

if '%1'=='ELEV' (shift & goto gotPrivileges)

controlla se lo script è già stato chiamato dallo script VBScript per elevare i diritti, evitando quindi ricorsioni infinite. Rimuove il parametro usando shift.

Aggiornare:

• Per evitare di dover registrare l' .vbsestensione di Windows 10 , ho sostituito la linea
  "%temp%\OEgetPrivileges.vbs"
  dalla
  "%SystemRoot%\System32\WScript.exe" "%temp%\OEgetPrivileges.vbs"
  nello script di cui sopra; aggiunto anche cd /d %~dp0come suggerito da Stephen (risposta separata) e da Tomáš Zato (commento) per impostare la directory di script come predefinita.

• Ora lo script rispetta i parametri della riga di comando che gli vengono passati. Grazie a jxmallet, TanisDLJ e Peter Mortensen per osservazioni e ispirazioni.

• Secondo il suggerimento di Artjom B., l'ho analizzato e sostituito SHIFTda SHIFT /1, che conserva il nome del file per il %0parametro

• Aggiunto del "%temp%\OEgetPrivileges_%batchName%.vbs"alla :gotPrivilegessezione per ripulire (come suggerito da mlt ). Aggiunto %batchName%per evitare l'impatto se si eseguono diversi batch in parallelo. Si noti che è necessario utilizzare forper poter sfruttare le funzioni di stringa avanzate, ad esempio %%~nk, che estrae solo il nome file.

• Struttura dello script ottimizzata, miglioramenti (aggiunta variabile a vbsGetPrivilegescui ora si fa riferimento ovunque che consente di modificare facilmente il percorso o il nome del file, eliminare il .vbsfile solo se il batch doveva essere elevato)

• In alcuni casi, era necessaria una diversa sintassi di chiamata per l'elevazione. Se lo script non funziona, controlla i seguenti parametri:
  set cmdInvoke=0
set winSysFolder=System32
  Cambia il primo parametro in set cmdInvoke=1e verifica se il problema è già stato risolto. Si aggiungerà cmd.exeallo script eseguendo l'elevazione.
  Oppure prova a cambiare il secondo parametro in winSysFolder=Sysnative, questo potrebbe aiutare (ma nella maggior parte dei casi non è richiesto) su sistemi a 64 bit. (ADBailey ha segnalato questo). "Sysnative" è richiesto solo per l'avvio di applicazioni a 64 bit da un host di script a 32 bit (ad es. Un processo di compilazione di Visual Studio o invocazione di script da un'altra applicazione a 32 bit).

• Per rendere più chiaro il modo in cui i parametri vengono interpretati, ora lo sto visualizzando P1=value1 P2=value2 ... P9=value9. Ciò è particolarmente utile se è necessario racchiudere parametri come percorsi tra virgolette doppie, ad es "C:\Program Files".

• Se si desidera eseguire il debug dello script VBS, è possibile aggiungere il //Xparametro a WScript.exe come primo parametro, come suggerito qui (è descritto per CScript.exe, ma funziona anche per WScript.exe).

Link utili:

• Significato dei caratteri speciali nel file batch:
  Quotes (") , Bang (!) , Caret (^) , Ampersand (&) , Altri caratteri speciali

Come menzionato da jcoder e Matt, PowerShell ha reso tutto più semplice e potrebbe persino essere incorporato nello script batch senza creare un nuovo script.

Ho modificato la sceneggiatura di Matt:

:: Check privileges 
net file 1>NUL 2>NUL
if not '%errorlevel%' == '0' (
    powershell Start-Process -FilePath "%0" -ArgumentList "%cd%" -verb runas >NUL 2>&1
    exit /b
)

:: Change directory with passed argument. Processes started with
:: "runas" start with forced C:\Windows\System32 workdir
cd /d %1

:: Actual work

Sto usando la risposta eccellente di Matt, ma vedo una differenza tra i miei sistemi Windows 7 e Windows 8 quando eseguo script elevati.

Una volta elevato lo script su Windows 8, la directory corrente è impostata su C:\Windows\system32. Fortunatamente, c'è una soluzione semplice cambiando la directory corrente nel percorso dello script corrente:

cd /d %~dp0

Nota: utilizzare cd /dper assicurarsi che anche la lettera dell'unità sia cambiata.

Per verificare ciò, è possibile copiare quanto segue in uno script. Esegui normalmente su entrambe le versioni per vedere lo stesso risultato. Esegui come amministratore e vedi la differenza in Windows 8:

@echo off
echo Current path is %cd%
echo Changing directory to the path of the current script
cd %~dp0
echo Current path is %cd%
pause

Lo faccio in questo modo:

NET SESSION
IF %ERRORLEVEL% NEQ 0 GOTO ELEVATE
GOTO ADMINTASKS

:ELEVATE
CD /d %~dp0
MSHTA "javascript: var shell = new ActiveXObject('shell.application'); shell.ShellExecute('%~nx0', '', '', 'runas', 1);close();"
EXIT

:ADMINTASKS
(Do whatever you need to do here)
EXIT

In questo modo è semplice e usa solo i comandi predefiniti di Windows. È fantastico se devi ridistribuire il tuo file batch.

CD /d %~dp0Imposta la directory corrente sulla directory corrente del file (se non lo è già, indipendentemente dall'unità in cui si trova il file, grazie /dall'opzione).

%~nx0 Restituisce il nome file corrente con estensione (se non includi l'estensione e c'è un exe con lo stesso nome nella cartella, chiamerà exe).

Ci sono così tante risposte su questo post che non so nemmeno se la mia risposta sarà vista.

Comunque, trovo in questo modo più semplice rispetto alle altre soluzioni proposte sulle altre risposte, spero che aiuti qualcuno.

Matt ha un'ottima risposta, ma elimina qualsiasi argomento passato alla sceneggiatura. Ecco la mia modifica che mantiene gli argomenti. Ho anche incorporato la correzione di Stephen per il problema della directory di lavoro in Windows 8.

@ECHO OFF
setlocal EnableDelayedExpansion

NET FILE 1>NUL 2>NUL
if '%errorlevel%' == '0' ( goto START ) else ( goto getPrivileges ) 

:getPrivileges
if '%1'=='ELEV' ( goto START )

set "batchPath=%~f0"
set "batchArgs=ELEV"

::Add quotes to the batch path, if needed
set "script=%0"
set script=%script:"=%
IF '%0'=='!script!' ( GOTO PathQuotesDone )
    set "batchPath=""%batchPath%"""
:PathQuotesDone

::Add quotes to the arguments, if needed.
:ArgLoop
IF '%1'=='' ( GOTO EndArgLoop ) else ( GOTO AddArg )
    :AddArg
    set "arg=%1"
    set arg=%arg:"=%
    IF '%1'=='!arg!' ( GOTO NoQuotes )
        set "batchArgs=%batchArgs% "%1""
        GOTO QuotesDone
        :NoQuotes
        set "batchArgs=%batchArgs% %1"
    :QuotesDone
    shift
    GOTO ArgLoop
:EndArgLoop

::Create and run the vb script to elevate the batch file
ECHO Set UAC = CreateObject^("Shell.Application"^) > "%temp%\OEgetPrivileges.vbs"
ECHO UAC.ShellExecute "cmd", "/c ""!batchPath! !batchArgs!""", "", "runas", 1 >> "%temp%\OEgetPrivileges.vbs"
"%temp%\OEgetPrivileges.vbs" 
exit /B

:START
::Remove the elevation tag and set the correct working directory
IF '%1'=='ELEV' ( shift /1 )
cd /d %~dp0

::Do your adminy thing here...

Uso PowerShell per riavviare lo script elevato se non lo è. Metti queste righe in cima alla tua sceneggiatura.

net file 1>nul 2>nul && goto :run || powershell -ex unrestricted -Command "Start-Process -Verb RunAs -FilePath '%comspec%' -ArgumentList '/c %~fnx0 %*'"
goto :eof
:run
:: TODO: Put code here that needs elevation

Ho copiato il metodo "net name" dalla risposta di @ Matt. La sua risposta è molto meglio documentata e ha messaggi di errore e simili. Questo ha il vantaggio che PowerShell è già installato e disponibile su Windows 7 e versioni successive. Nessun file VBScript temporaneo (* .vbs) e non è necessario scaricare strumenti.

Questo metodo dovrebbe funzionare senza alcuna configurazione o impostazione, a condizione che le autorizzazioni di esecuzione di PowerShell non siano bloccate.

Per alcuni programmi che impostano la __COMPAT_LAYERvariabile d'ambiente super segreta su RunAsInvoker funzionerà. Controlla questo:

set "__COMPAT_LAYER=RunAsInvoker"
start regedit.exe

Sebbene in questo modo non ci sarà alcun controllo dell'account utente che continuerà senza le autorizzazioni di amministratore.

L'ho incollato all'inizio della sceneggiatura:

:: BatchGotAdmin
:-------------------------------------
REM  --> Check for permissions
>nul 2>&1 "%SYSTEMROOT%\system32\icacls.exe" "%SYSTEMROOT%\system32\config\system"

REM --> If error flag set, we do not have admin.
if '%errorlevel%' NEQ '0' (
    echo Requesting administrative privileges...
    goto UACPrompt
) else ( goto gotAdmin )

:UACPrompt
    echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
    echo args = "" >> "%temp%\getadmin.vbs"
    echo For Each strArg in WScript.Arguments >> "%temp%\getadmin.vbs"
    echo args = args ^& strArg ^& " "  >> "%temp%\getadmin.vbs"
    echo Next >> "%temp%\getadmin.vbs"
    echo UAC.ShellExecute "%~s0", args, "", "runas", 1 >> "%temp%\getadmin.vbs"

    "%temp%\getadmin.vbs" %*
    exit /B

:gotAdmin
    if exist "%temp%\getadmin.vbs" ( del "%temp%\getadmin.vbs" )
    pushd "%CD%"
    CD /D "%~dp0"
:--------------------------------------

Ho scritto gsudo, a sudofor windows : che si eleva nella console corrente (nessun contesto passa a una nuova finestra), con una cache delle credenziali (popup UAC ridotti) e eleva anche i comandi di PowerShell .

Permette di elevare i comandi che richiedono i privilegi di amministratore, o l'intero batch, se lo si desidera. Basta anteporregsudo prima di tutto ciò che deve essere eseguito elevato.

Esempio di file batch che si eleva usando gsudo:

EDIT: nuova versione di una fodera che funziona con qualsiasi linguaggio di Windows ed evita problemi di whoami :

net session >nul 2>nul & net session >nul 2>nul || gsudo "%~f0" && exit /b || exit /b
:: This will run as admin ::

Alternativa (versione originale):

@echo off
  rem Test if current context is already elevated:
  whoami /groups | findstr /b BUILTIN\Administrators | findstr /c:"Enabled group" 1> nul 2>nul && goto :isadministrator
  echo You are not admin. (yet)
  :: Use gsudo to launch this batch file elevated.
  gsudo "%~f0"
  goto end
:isadministrator
  echo You are admin.
  echo (Do admin stuff now).
:end

Installare:

• via cioccolata: choco install gsudo
• o scoop: scoop install gsudo
• o prendilo da github: https://github.com/gerardog/gsudo

Guarda gsudo in azione:

Sebbene non sia direttamente applicabile a questa domanda, poiché desidera alcune informazioni per l'utente, google mi ha portato qui quando volevo eseguire il mio file .bat elevato dall'utilità di pianificazione.

L'approccio più semplice è stato quello di creare un collegamento al file .bat, perché per un collegamento è possibile impostare Run as administrator direttamente dalle proprietà avanzate.

Eseguendo il collegamento dall'utilità di pianificazione, viene eseguito il file .bat elevato.

Se non è necessario passare argomenti, ecco uno script di prompt UAC compatto lungo una sola riga. Questo fa una cosa simile allo script di elevazione nella risposta più votata, ma non passa attraverso gli argomenti poiché non esiste un modo infallibile per farlo che gestisca ogni possibile combinazione di personaggi velenosi.

@echo off
net sess>nul 2>&1||(echo(CreateObject("Shell.Application"^).ShellExecute"%~0",,,"RunAs",1:CreateObject("Scripting.FileSystemObject"^).DeleteFile(wsh.ScriptFullName^)>"%temp%\%~nx0.vbs"&start wscript.exe "%temp%\%~nx0.vbs"&exit)

:: Your batch file goes here

Utilizzando PowerShell.

Se il file cmd è lungo, ne uso uno per richiedere l'elevazione, quindi chiamo quello che fa il lavoro effettivo.

Se lo script è un semplice comando, tutto può rientrare in un file cmd. Non dimenticare di includere il percorso nei file di script.

Modello:

@echo off
powershell -Command "Start-Process 'cmd' -Verb RunAs -ArgumentList '/c " comands or another script.cmd go here "'"

Esempio 1:

@echo off
powershell -Command "Start-Process 'cmd' -Verb RunAs -ArgumentList '/c "powershell.exe -NoProfile -ExecutionPolicy Bypass -File C:\BIN\x.ps1"'"

Esempio 2:

@echo off
powershell -Command "Start-Process 'cmd' -Verb RunAs -ArgumentList '/c "c:\bin\myScript.cmd"'"

Prova questo:

@echo off
CLS
:init
setlocal DisableDelayedExpansion
set cmdInvoke=1
set winSysFolder=System32
set "batchPath=%~0"
for %%k in (%0) do set batchName=%%~nk
set "vbsGetPrivileges=%temp%\OEgetPriv_%batchName%.vbs"
setlocal EnableDelayedExpansion
:checkPrivileges
NET FILE 1>NUL 2>NUL
if '%errorlevel%' == '0' ( goto gotPrivileges ) else ( goto getPrivileges )
:getPrivileges
if '%1'=='ELEV' (echo ELEV & shift /1 & goto gotPrivileges)
ECHO.
ECHO Set UAC = CreateObject^("Shell.Application"^) > "%vbsGetPrivileges%"
ECHO args = "ELEV " >> "%vbsGetPrivileges%"
ECHO For Each strArg in WScript.Arguments >> "%vbsGetPrivileges%"
ECHO args = args ^& strArg ^& " "  >> "%vbsGetPrivileges%"
ECHO Next >> "%vbsGetPrivileges%"
if '%cmdInvoke%'=='1' goto InvokeCmd 
ECHO UAC.ShellExecute "!batchPath!", args, "", "runas", 1 >> "%vbsGetPrivileges%"
goto ExecElevation
:InvokeCmd
ECHO args = "/c """ + "!batchPath!" + """ " + args >> "%vbsGetPrivileges%"
ECHO UAC.ShellExecute "%SystemRoot%\%winSysFolder%\cmd.exe", args, "", "runas", 1 >> "%vbsGetPrivileges%"
:ExecElevation
"%SystemRoot%\%winSysFolder%\WScript.exe" "%vbsGetPrivileges%" %*
exit /B
:gotPrivileges
setlocal & cd /d %~dp0
if '%1'=='ELEV' (del "%vbsGetPrivileges%" 1>nul 2>nul  &  shift /1)
REM Run shell as admin (example) - put here code as you like
ECHO %batchName% Arguments: P1=%1 P2=%2 P3=%3 P4=%4 P5=%5 P6=%6 P7=%7 P8=%8 P9=%9
cmd /k

Se hai bisogno di informazioni su quel file batch, esegui lo snippet HTML / JS / CSS:

document.getElementsByTagName("data")[0].innerHTML="ElevateBatch, version 4, release<br>Required Commands:<ul><li>CLS</li><li>SETLOCAL</li><li>SET</li><li>FOR</li><li>NET</li><li>IF</li><li>ECHO</li><li>GOTO</li><li>EXIT</li><li>DEL</li></ul>It auto-elevates the system and if the user presses No, it just doesn't do anything.<br>This CANNOT be used to create an Elevated Explorer.";

data{font-family:arial;text-decoration:none}

<data></data>

La seguente soluzione è pulita e funziona perfettamente.

1. Scarica il file zip Elevate da https://www.winability.com/download/Elevate.zip

2. All'interno di zip dovresti trovare due file: Elevate.exe ed Elevate64.exe. (Quest'ultima è una compilazione nativa a 64 bit, se è necessario che, sebbene la normale versione a 32 bit, Elevate.exe, funzioni correttamente con entrambe le versioni a 32 e 64 bit di Windows)

3. Copia il file Elevate.exe in una cartella in cui Windows può sempre trovarlo (come C: / Windows). O meglio è possibile copiare nella stessa cartella in cui si prevede di conservare il file bat.

4. Per usarlo in un file batch, basta anteporre il comando che si desidera eseguire come amministratore con il comando elevate, in questo modo:

 elevate net start service ...