バッチファイルを自動昇格させて、必要に応じてUAC管理者権限から要求できるようにするにはどうすればよいですか？

バッチファイルで管理者特権でのみ実行したい。昇格していない場合は、ユーザーが昇格したバッチを再起動するオプションを提供します。

システム変数を設定し、2つのファイルをProgram Filesの場所にコピーして、ドライバーインストーラーを起動するバッチファイルを作成しています。Windows 7 / Windows Vistaユーザー（UACが有効で、ローカル管理者であっても）を右クリックして[管理者として実行]を選択せず​​に実行すると、2つのファイルがコピーされてシステム変数が書き込まれ、「アクセス拒否」が表示されます。 。

ユーザーが実際に管理者である場合、コマンドを使用して昇格されたバッチを自動的に再起動したいと思います。それ以外の場合、管理者でない場合は、バッチファイルを実行するために管理者権限が必要であることを伝えたいと思います。xcopyを使用してファイルをコピーし、REG ADDを使用してシステム変数を書き込みます。これらのコマンドを使用して、可能なWindows XPマシンを処理しています。このトピックについて同様の質問を見つけましたが、昇格したバッチファイルの再起動については何も触れていません。

昇格させて実行するには、psexecの-hオプションを使用してスクリプト自体を呼び出すことができます。

すでに昇格されているかどうかをどのように検出するかわかりません...アクセス拒否エラーが発生した場合にのみ、昇格された権限で再試行してください。

または、のコマンドを用意しxcopyてreg.exe常にで実行することもできますがpsexec -h、エンドユーザーが毎回パスワードを入力する必要がある場合（またはスクリプトにパスワードを含めた場合に安全でない場合）は煩わしいでしょう...

外部ツールを使用せずに簡単な方法があります-Windows 7、8、8.1、10で正常に動作します下位互換性もあります（Windows XPにはUACがないため、昇格は必要ありません-その中でスクリプトが続行する場合）。

このコードをチェックしてください（私はスレッドバッチファイルに投稿されたNIronwolfのコードに触発されました-Windows 7で「アクセス拒否」？）、私はそれを改善しました-私のバージョンでは、作成および削除されたディレクトリはありません管理者権限を確認してください）：

::::::::::::::::::::::::::::::::::::::::::::
:: Elevate.cmd - Version 4
:: Automatically check & get admin rights
:: see "https://stackoverflow.com/a/12264592/1016343" for description
::::::::::::::::::::::::::::::::::::::::::::
 @echo off
 CLS
 ECHO.
 ECHO =============================
 ECHO Running Admin shell
 ECHO =============================

:init
 setlocal DisableDelayedExpansion
 set cmdInvoke=1
 set winSysFolder=System32
 set "batchPath=%~0"
 for %%k in (%0) do set batchName=%%~nk
 set "vbsGetPrivileges=%temp%\OEgetPriv_%batchName%.vbs"
 setlocal EnableDelayedExpansion

:checkPrivileges
  NET FILE 1>NUL 2>NUL
  if '%errorlevel%' == '0' ( goto gotPrivileges ) else ( goto getPrivileges )

:getPrivileges
  if '%1'=='ELEV' (echo ELEV & shift /1 & goto gotPrivileges)
  ECHO.
  ECHO **************************************
  ECHO Invoking UAC for Privilege Escalation
  ECHO **************************************

  ECHO Set UAC = CreateObject^("Shell.Application"^) > "%vbsGetPrivileges%"
  ECHO args = "ELEV " >> "%vbsGetPrivileges%"
  ECHO For Each strArg in WScript.Arguments >> "%vbsGetPrivileges%"
  ECHO args = args ^& strArg ^& " "  >> "%vbsGetPrivileges%"
  ECHO Next >> "%vbsGetPrivileges%"

  if '%cmdInvoke%'=='1' goto InvokeCmd 

  ECHO UAC.ShellExecute "!batchPath!", args, "", "runas", 1 >> "%vbsGetPrivileges%"
  goto ExecElevation

:InvokeCmd
  ECHO args = "/c """ + "!batchPath!" + """ " + args >> "%vbsGetPrivileges%"
  ECHO UAC.ShellExecute "%SystemRoot%\%winSysFolder%\cmd.exe", args, "", "runas", 1 >> "%vbsGetPrivileges%"

:ExecElevation
 "%SystemRoot%\%winSysFolder%\WScript.exe" "%vbsGetPrivileges%" %*
 exit /B

:gotPrivileges
 setlocal & cd /d %~dp0
 if '%1'=='ELEV' (del "%vbsGetPrivileges%" 1>nul 2>nul  &  shift /1)

 ::::::::::::::::::::::::::::
 ::START
 ::::::::::::::::::::::::::::
 REM Run shell as admin (example) - put here code as you like
 ECHO %batchName% Arguments: P1=%1 P2=%2 P3=%3 P4=%4 P5=%5 P6=%6 P7=%7 P8=%8 P9=%9
 cmd /k

スクリプトは、NET FILE管理者特権を必要とするという事実を利用して戻りますerrorlevel 1、それがない場合利用しています。昇格は、特権を取得するためにバッチファイルを再起動するスクリプトを作成することによって行われます。これにより、WindowsはUACダイアログを表示し、管理者アカウントとパスワードを要求します。

私はWindows 7、8、8.1、10とWindows XPでテストしました-すべての人に問題なく動作します。利点は、たとえば、デバッグのためにWindowsサービスを再インストールして再実行する場合（mypackage.msiがサービスインストーラーパッケージであると想定）、システム管理者特権を必要とするものを何でも配置できることです。 ：

msiexec /passive /x mypackage.msi
msiexec /passive /i mypackage.msi
net start myservice

この特権昇格スクリプトがないと、UACは管理者ユーザーとパスワードを3回要求します。今では、最初に1回だけ要求され、必要な場合のみ要求されます。

自動昇格の代わりに、スクリプトがエラーメッセージを表示し、管理者権限がない場合に終了する必要がある場合、これはさらに簡単です。これは、スクリプトの先頭に次の行を追加することで実現できます。

@ECHO OFF & CLS & ECHO.
NET FILE 1>NUL 2>NUL & IF ERRORLEVEL 1 (ECHO You must right-click and select &
  ECHO "RUN AS ADMINISTRATOR"  to run this batch. Exiting... & ECHO. &
  PAUSE & EXIT /D)
REM ... proceed here with admin rights ...

このように、ユーザーは右クリックして[ 管理者として実行 ]を選択する必要があります。スクリプトはREM、管理者権限を検出した場合はステートメントの後に進み、それ以外の場合はエラーで終了します。が不要な場合はPAUSE、削除してください。 重要： NET FILE [...] EXIT /D)同じ行にある必要があります。読みやすくするために、ここでは複数行で表示されています。

一部のマシンで問題が発生しましたが、上記の新しいバージョンで既に解決されています。1つは二重引用符の処理の違いによるもので、もう1つはWindows 7マシンでUACが無効になっている（最低レベルに設定されている）ためで、スクリプトが何度も何度も呼び出します。

パス内の引用符を削除して後で再度追加することで、これを修正しました。スクリプトが昇格された権限で再起動するときに追加されるパラメーターを追加しました。

二重引用符は以下によって削除されます（詳細はここにあります）：

setlocal DisableDelayedExpansion
set "batchPath=%~0"
setlocal EnableDelayedExpansion

その後、を使用してパスにアクセスできます!batchPath!。二重引用符は含まれていないため"!batchPath!"、スクリプトの後半で言っても安全です。

この線

if '%1'=='ELEV' (shift & goto gotPrivileges)

権限を昇格させるためにVBScriptスクリプトによってスクリプトが既に呼び出されているかどうかをチェックし、無限の再帰を回避します。を使用してパラメータを削除しますshift。

更新：

• 登録しなくても済むようにする.vbsに内線番号のWindows 10を、私はラインを交換した
  "%temp%\OEgetPrivileges.vbs"
  ことにより、
  "%SystemRoot%\System32\WScript.exe" "%temp%\OEgetPrivileges.vbs"
  上記のスクリプトでは、またcd /d %~dp0、Stephen（別の回答）とTomášZato（コメント）が提案したように、スクリプトディレクトリをデフォルトとして設定するために追加されました。

• これで、スクリプトは、渡されるコマンドラインパラメータを尊重します。jxmallet、TanisDLJ、およびPeter Mortensenの観察とインスピレーションに感謝します。

• Artjom B.のヒントに従って、私はそれを分析し、に置き換えましSHIFTたSHIFT /1。これは、%0パラメーターのファイル名を保持します

• クリーンアップdel "%temp%\OEgetPrivileges_%batchName%.vbs"する:gotPrivilegesセクションに追加されました（mltが推奨）。%batchName%異なるバッチを並行して実行する場合の影響を回避するために追加されました。ファイル名だけを抽出するforなどの高度な文字列関数を利用するには、を使用する必要があることに注意してください%%~nk。

• 最適化されたスクリプト構造、改良（vbsGetPrivilegesファイルのパスまたは名前を簡単に変更できるように変数が追加されました。.vbsバッチを昇格する必要がある場合にのみファイルを削除してください）

• 場合によっては、昇格に別の呼び出し構文が必要でした。スクリプトが機能しない場合は、次のパラメーターを確認
  set cmdInvoke=0
set winSysFolder=System32
  しset cmdInvoke=1てください。1番目のパラメーターをに変更して、問題が既に修正されているかどうかを確認します。cmd.exe昇格を実行するスクリプトに追加されます。
  または、2番目のパラメータをに変更してみてくださいwinSysFolder=Sysnative。これは、64ビットシステムで役立つ場合があります（ただし、ほとんどの場合は必要ありません）。（ADBaileyはこれを報告しています）。「Sysnative」は、32ビットスクリプトホストから64ビットアプリケーションを起動する場合にのみ必要です（例：Visual Studioビルドプロセス、または別の32ビットアプリケーションからのスクリプト呼び出し）。

• パラメータがどのように解釈されるかをより明確にするために、今はのように表示していP1=value1 P2=value2 ... P9=value9ます。これは、パスなどのパラメータを二重引用符で囲む必要がある場合に特に役立ちます"C:\Program Files"。

• VBSスクリプトをデバッグする場合は、ここで//X提案するように、パラメーターをWScript.exeに最初のパラメーターとして追加できます（CScript.exeについて説明されていますが、WScript.exeでも機能します）。

役立つリンク：

• バッチファイル内の特殊文字の意味：
  引用符（ "）、バング（！）、キャレット（^）、アンパサンド（＆）、その他の特殊文字

jcoderとMattが述べたように、PowerShellはそれを簡単にし、新しいスクリプトを作成せずにバッチスクリプトに埋め込むこともできました。

Mattのスクリプトを変更しました。

:: Check privileges 
net file 1>NUL 2>NUL
if not '%errorlevel%' == '0' (
    powershell Start-Process -FilePath "%0" -ArgumentList "%cd%" -verb runas >NUL 2>&1
    exit /b
)

:: Change directory with passed argument. Processes started with
:: "runas" start with forced C:\Windows\System32 workdir
cd /d %1

:: Actual work

Mattの優れた答えを使用していますが、昇格したスクリプトを実行すると、Windows 7システムとWindows 8システムの違いがわかります。

スクリプトがWindows 8で昇格されると、現在のディレクトリはに設定されC:\Windows\system32ます。さいわい、現在のディレクトリを現在のスクリプトのパスに変更することで、簡単な回避策があります。

cd /d %~dp0

注：cd /dドライブ文字も変更されていることを確認するために使用します。

これをテストするには、以下をスクリプトにコピーします。同じ結果を表示するには、どちらのバージョンでも通常どおり実行します。管理者として実行し、Windows 8の違いを確認します。

@echo off
echo Current path is %cd%
echo Changing directory to the path of the current script
cd %~dp0
echo Current path is %cd%
pause

私はこのようにします：

NET SESSION
IF %ERRORLEVEL% NEQ 0 GOTO ELEVATE
GOTO ADMINTASKS

:ELEVATE
CD /d %~dp0
MSHTA "javascript: var shell = new ActiveXObject('shell.application'); shell.ShellExecute('%~nx0', '', '', 'runas', 1);close();"
EXIT

:ADMINTASKS
(Do whatever you need to do here)
EXIT

この方法はシンプルで、Windowsのデフォルトコマンドのみを使用します。バッチファイルを再配布する必要がある場合に最適です。

CD /d %~dp0現在のディレクトリをファイルの現在のディレクトリに設定します（/dオプションにより、ファイルが存在するドライブに関係なく、まだ存在しない場合）。

%~nx0 拡張子付きの現在のファイル名を返します（拡張子を含めず、フォルダーに同じ名前のexeがある場合は、exeを呼び出します）。

この投稿には非常に多くの返信があり、返信が表示されるかどうかさえわかりません。

とにかく、私はこの方法が他の回答で提案された他の解決策よりも簡単だと思います。それが誰かを助けることを願っています。

マットは素晴らしい答えを持っていますが、スクリプトに渡された引数を取り除きます。これは、引数を保持する私の変更です。Windows 8の作業ディレクトリの問題に対するStephenの修正も組み込んだ。

@ECHO OFF
setlocal EnableDelayedExpansion

NET FILE 1>NUL 2>NUL
if '%errorlevel%' == '0' ( goto START ) else ( goto getPrivileges ) 

:getPrivileges
if '%1'=='ELEV' ( goto START )

set "batchPath=%~f0"
set "batchArgs=ELEV"

::Add quotes to the batch path, if needed
set "script=%0"
set script=%script:"=%
IF '%0'=='!script!' ( GOTO PathQuotesDone )
    set "batchPath=""%batchPath%"""
:PathQuotesDone

::Add quotes to the arguments, if needed.
:ArgLoop
IF '%1'=='' ( GOTO EndArgLoop ) else ( GOTO AddArg )
    :AddArg
    set "arg=%1"
    set arg=%arg:"=%
    IF '%1'=='!arg!' ( GOTO NoQuotes )
        set "batchArgs=%batchArgs% "%1""
        GOTO QuotesDone
        :NoQuotes
        set "batchArgs=%batchArgs% %1"
    :QuotesDone
    shift
    GOTO ArgLoop
:EndArgLoop

::Create and run the vb script to elevate the batch file
ECHO Set UAC = CreateObject^("Shell.Application"^) > "%temp%\OEgetPrivileges.vbs"
ECHO UAC.ShellExecute "cmd", "/c ""!batchPath! !batchArgs!""", "", "runas", 1 >> "%temp%\OEgetPrivileges.vbs"
"%temp%\OEgetPrivileges.vbs" 
exit /B

:START
::Remove the elevation tag and set the correct working directory
IF '%1'=='ELEV' ( shift /1 )
cd /d %~dp0

::Do your adminy thing here...

そうでない場合は、PowerShellを使用して昇格したスクリプトを再起動します。これらの行をスクリプトの最上部に置きます。

net file 1>nul 2>nul && goto :run || powershell -ex unrestricted -Command "Start-Process -Verb RunAs -FilePath '%comspec%' -ArgumentList '/c %~fnx0 %*'"
goto :eof
:run
:: TODO: Put code here that needs elevation

「ネット名」メソッドを@Mattの回答からコピーしました。彼の答えははるかによく文書化されており、エラーメッセージなどがあります。これには、PowerShellがすでにインストールされており、Windows 7以降で使用できるという利点があります。一時的なVBScript（* .vbs）ファイルはなく、ツールをダウンロードする必要はありません。

このメソッドは、PowerShellの実行権限がロックダウンされていない限り、構成や設定なしで機能します。

一部のプログラムでは、スーパーシークレット__COMPAT_LAYER環境変数をに設定するRunAsInvoker と機能します。これを確認してください：

set "__COMPAT_LAYER=RunAsInvoker"
start regedit.exe

このようにしても、ユーザーに管理者権限なしで続行することを求めるUACはありません。

これをスクリプトの冒頭に貼り付けました。

:: BatchGotAdmin
:-------------------------------------
REM  --> Check for permissions
>nul 2>&1 "%SYSTEMROOT%\system32\icacls.exe" "%SYSTEMROOT%\system32\config\system"

REM --> If error flag set, we do not have admin.
if '%errorlevel%' NEQ '0' (
    echo Requesting administrative privileges...
    goto UACPrompt
) else ( goto gotAdmin )

:UACPrompt
    echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
    echo args = "" >> "%temp%\getadmin.vbs"
    echo For Each strArg in WScript.Arguments >> "%temp%\getadmin.vbs"
    echo args = args ^& strArg ^& " "  >> "%temp%\getadmin.vbs"
    echo Next >> "%temp%\getadmin.vbs"
    echo UAC.ShellExecute "%~s0", args, "", "runas", 1 >> "%temp%\getadmin.vbs"

    "%temp%\getadmin.vbs" %*
    exit /B

:gotAdmin
    if exist "%temp%\getadmin.vbs" ( del "%temp%\getadmin.vbs" )
    pushd "%CD%"
    CD /D "%~dp0"
:--------------------------------------

それは2020年であり、 なぜWindowsにはまだsudoツールがないのですか？

したがって、私はgsudo、sudoWindows用のを書きました：現在のコンソールで昇格し（コンテキストが新しいウィンドウに切り替わらない）、資格情報キャッシュ（縮小UACポップアップ）を使用して昇格します。 PowerShellのコマンドを。

必要に応じて、管理者権限またはバッチ全体を必要とするコマンドを昇格できます。

プリペンドするだけ gsudo 昇格して実行する必要がある前にします。

自身を昇格させるバッチファイルの例：

@echo off
  rem Test if current context is already elevated:
  whoami /groups | findstr /b BUILTIN\Administrators | findstr /c:"Enabled group" 1> nul 2>nul && goto :isadministrator
  echo You are not admin. (yet)
  :: Use gsudo to launch this batch file elevated.
  gsudo "%~f0"
  goto end
:isadministrator
  echo You are admin.
  echo (Do admin stuff now).
:end

実際のgsudoを参照してください。

インストール：

• チョコレートを介して： choco install gsudo
• またはスクープ： scoop install gsudo
• またはgithubから入手：https : //github.com/gerardog/gsudo

この質問には直接当てはまりませんが、ユーザーにいくつかの情報が必要なため、タスクスケジューラから昇格した.batファイルを実行したいときにgoogleがここに連れてきました。

最も簡単な方法は、.batファイルへのショートカットを作成することでした。これは、ショートカットの場合Run as administrator、詳細プロパティから直接設定できるためです。

タスクスケジューラからショートカットを実行すると、昇格された.batファイルが実行されます。

PowerShellを使用します。

cmdファイルが長い場合、最初のファイルを使用して昇格を要求してから、実際の作業を行うファイルを呼び出します。

スクリプトが単純なコマンドの場合、すべてが1つのcmdファイルに収まる場合があります。スクリプトファイルにパスを含めることを忘れないでください。

テンプレート：

@echo off
powershell -Command "Start-Process 'cmd' -Verb RunAs -ArgumentList '/c " comands or another script.cmd go here "'"

例1：

@echo off
powershell -Command "Start-Process 'cmd' -Verb RunAs -ArgumentList '/c "powershell.exe -NoProfile -ExecutionPolicy Bypass -File C:\BIN\x.ps1"'"

例2：

@echo off
powershell -Command "Start-Process 'cmd' -Verb RunAs -ArgumentList '/c "c:\bin\myScript.cmd"'"

これを試して：

@echo off
CLS
:init
setlocal DisableDelayedExpansion
set cmdInvoke=1
set winSysFolder=System32
set "batchPath=%~0"
for %%k in (%0) do set batchName=%%~nk
set "vbsGetPrivileges=%temp%\OEgetPriv_%batchName%.vbs"
setlocal EnableDelayedExpansion
:checkPrivileges
NET FILE 1>NUL 2>NUL
if '%errorlevel%' == '0' ( goto gotPrivileges ) else ( goto getPrivileges )
:getPrivileges
if '%1'=='ELEV' (echo ELEV & shift /1 & goto gotPrivileges)
ECHO.
ECHO Set UAC = CreateObject^("Shell.Application"^) > "%vbsGetPrivileges%"
ECHO args = "ELEV " >> "%vbsGetPrivileges%"
ECHO For Each strArg in WScript.Arguments >> "%vbsGetPrivileges%"
ECHO args = args ^& strArg ^& " "  >> "%vbsGetPrivileges%"
ECHO Next >> "%vbsGetPrivileges%"
if '%cmdInvoke%'=='1' goto InvokeCmd 
ECHO UAC.ShellExecute "!batchPath!", args, "", "runas", 1 >> "%vbsGetPrivileges%"
goto ExecElevation
:InvokeCmd
ECHO args = "/c """ + "!batchPath!" + """ " + args >> "%vbsGetPrivileges%"
ECHO UAC.ShellExecute "%SystemRoot%\%winSysFolder%\cmd.exe", args, "", "runas", 1 >> "%vbsGetPrivileges%"
:ExecElevation
"%SystemRoot%\%winSysFolder%\WScript.exe" "%vbsGetPrivileges%" %*
exit /B
:gotPrivileges
setlocal & cd /d %~dp0
if '%1'=='ELEV' (del "%vbsGetPrivileges%" 1>nul 2>nul  &  shift /1)
REM Run shell as admin (example) - put here code as you like
ECHO %batchName% Arguments: P1=%1 P2=%2 P3=%3 P4=%4 P5=%5 P6=%6 P7=%7 P8=%8 P9=%9
cmd /k

そのバッチファイルに関する情報が必要な場合は、HTML / JS / CSSスニペットを実行します。

document.getElementsByTagName("data")[0].innerHTML="ElevateBatch, version 4, release<br>Required Commands:<ul><li>CLS</li><li>SETLOCAL</li><li>SET</li><li>FOR</li><li>NET</li><li>IF</li><li>ECHO</li><li>GOTO</li><li>EXIT</li><li>DEL</li></ul>It auto-elevates the system and if the user presses No, it just doesn't do anything.<br>This CANNOT be used to create an Elevated Explorer.";

data{font-family:arial;text-decoration:none}

<data></data>

次の解決策はクリーンで完全に機能します。

1. Elevate zipファイルをhttps://www.winability.com/download/Elevate.zipからダウンロードします。

2. zip内には、Elevate.exeとElevate64.exeの2つのファイルがあります。（後者はネイティブの64ビットコンパイルですが、必要な場合は、通常の32ビットバージョンのElevate.exeがWindowsの32ビットバージョンと64ビットバージョンの両方で正常に動作するはずです）

3. Elevate.exeファイルを、Windowsが常に見つけられるフォルダー（C：/ Windowsなど）にコピーします。または、batファイルを保持する予定の同じフォルダーにコピーすることをお勧めします。

4. これをバッチファイルで使用するには、管理者として実行するコマンドの前に次のようにelevateコマンドを追加します。

 elevate net start service ...