AD提权安装软件

在使用Active Directory域管理的虚拟桌面中，每个用户对虚拟桌面计算机是普通用户权限。如果用户需要单独安装软件，需要以管理员账户权限运行。有的软件也需要以管理员权限运行，对于这种情况下，可以使用第三方软件lsrunase.exe程序，通过指定批处理脚本的方式，以管理员权限安装软件（或运行指定文件夹中的程序）。主要内容如下：

（1）用LSencrypt生成Administrator的密码

（2）每个程序编写安装批处理，以域管理员帐户身份运行。

（3）将批处理用Quick BatchFile Compiler加密成exe程序。

（4）将加密后的exe程序、需要安装的软件放置在共享文件夹中，普通用户双击执行加密后的exe程序即可管理员权限运行程序或安装软件。

下面通过具体实例介绍。

在服务器上放置应用程序与编写脚本

在本示例中，在当前网络中的一台文件服务器上创建两个共享文件夹，一个共享文件夹保存加密后的exe程序，另一个文件夹保存安装程序。

（1）以远程桌面方式登录到服务器，在D盘创建两个文件夹并设置成共享，共享权限为Everyone读取权限。这是在D盘根目录创建了一个名为software的文件夹，设置共享名称为software，共享权限为Administrator读取/写入、Everyone读取权限。

（2）再在D盘创建一个名为inst的文件夹，并设置共享名称为inst$，共享权限为Everyone读取。

（3）将下载的LSencrypt.exe与lsrunase.exe拷贝到d:\inst文件夹，执行LSencrypt.exe程序，生成Administrator的密码，如图1所示。在“Password”中输入当前域管理员账户Administrator的密码，然后单击“Encrypt”按钮生成加密后的密码，然后复制加密后的密码，当前示例中，加密后的密码为7F1zi6dcrfuM3vbg。

（4）将要安装的程序拷贝到d:\inst文件夹中，为了方便管理，可以创建一个子目录。本示例中在d:\inst文件夹中创建了一个名为WXWORK的文件夹，并拷贝了最新的企业微信及个人微信的安装程序。

（5）考虑到后期会有新的程序版本，所以可以将个人微信的安装程序重命名，本示例中将个人微信程序名由WeChatSetup_2.8.0.121.exe重命名为WeChatSetup.exe。

【说明】企业微信安装程序不能重命名，如果重命名之后运行安装程序会提示“你的企业微信正在运行，是否安装后安装”的错误提示。

如果要运行这些程序，程序路径分别是

\\172.20.1.12\inst$\lsrunase.exe

\\172.20.1.12\inst$\WXWORK\WeChatSetup.exe

\\172.20.1.12\inst$\WXWORK\WXWork_3.0.12.1203_100004.exe

lsrunase命令格式如下：

lsrunase /user:administrator/password:41BngA== /domain: /command:notepad.exe /runpath:c:\

所有的参数必须齐全，其中：

user 为运行的账号

password 为密码加密后的字串

domain 为机器名或域名，也可留空代表本机

command 为要运行的程序名，如果携带参数需要在命令的首尾加引号

runpath 为程序启动的路径

可以用“记事本”新建文本文件，添加如下的内容，这是个人微信安装程序。

@echooff
 
"\\172.20.1.12\inst$\lsrunase"/user:administrator /password:7F1zi6dcrfuM3vbg  /domain:heuet.com  /command:"\\172.20.1.12\inst$\WXWORK\WeChatSetup.exe" /runpath:c:\ 

企业微信安装程序命令如下：

@echooff
 
"\\172.20.1.12\inst$\lsrunase"/user:administrator /password:7F1zi6dcrfuM3vbg  /domain:heuet.com  /command:"\\172.20.1.12\inst$\WXWORK\WXWork_3.0.12.1203_100004.exe" /runpath:c:\ 

（6）使用Quick BatchFile Compiler工具，将该BAT文件转换成EXE文件。该文件使用非常简单，单击“打开”按钮选择批处理文件，然后单击“构建”按钮，在弹出的对话框中指定保存的exe文件名，即可将批处理文件转换为exe可执行程序，如图所示。