Windows 7에서 내 cmd.exe가 관리자 권한으로 열리는 이유는 무엇입니까?

Windows 7에서 내 cmd.exe가 관리자 권한으로 열리는 이유는 무엇입니까? ("관리자 권한으로 실행"이라고 말하지 않겠습니다. 왜냐하면 Win7의 "관리자 권한으로 실행" 옵션이 관리자 권한이 아닌 관리 권한으로 실행된다는 것을 알고 있기 때문입니다. 비록 자동이기는 하지만 여기서는 그런 일이 일어나고 있습니다)

내 사용자 이름을 클릭하여 Windows로 이동합니다.

이제 cmd.exe를 시작하고 바로가기를 클릭하지 않는다는 것을 보여주기 위해 가장 명확한 방법으로 실행하겠습니다.

그래서 c:\windows\system32로 이동하면 거기에서 확실히 cmd.exe가 실행되고 있습니다.

그런데 이렇게 나오네요

그리고 혹시 내가 관리자 계정으로 로그인했을 수도 있다고 생각하신다면, 저는 관리자 계정이 아닙니다.

그리고 system32에서 직접 연 cmd.exe도 어떤 이유로 관리자 권한으로 실행 중인지 보여줍니다. 사용자 계정에서 실행 중입니다.

추가됨

댓글 작성자 "scott"의 일부 문의에 대한 답변입니다. 분명히 "사용자"라는 계정이 있습니다. 이는 명확해야 합니다.

댓글 작성자 'scott'은 다음 명령을 제안합니다.

C:\Users\User>net user %username% | find "Group"
Local Group Memberships      *Administrators       *HomeUsers
Global Group memberships     *None

C:\Users\User>

(예, 사용자 계정은 관리자 그룹의 구성원이지만 이로 인해 해당 동작이 발생하지는 않습니다.)

댓글 작성자 "scott"은 출력을 표시하는 이 명령을 실행할 것을 제안했습니다.

C:\Users\User>whoami /priv | find "Enabled"
SeChangeNotifyPrivilege         Bypass traverse checking                  Enabled
SeImpersonatePrivilege          Impersonate a client after authentication Enabled
SeCreateGlobalPrivilege         Create global objects                     Enabled

C:\Users\User>

거기에는 특이한 것이 없습니다. 새로 설치할 때 관리자 권한으로 cmd 프롬프트를 실행하면 동일한 내용이 표시됩니다. 분명히 내 경우에는 자동으로 발생합니다. 그렇다면 아마도 논평자 scott은 그가 그곳에서 찾고 있던 것이 무엇인지 말할 수 있을까요?

새로 설치할 때 관리자 권한으로 시작된 cmd 프롬프트에서 해당 명령을 실행하면 whoami /priv | find "Enabled"활성화된 동일한 세 가지 항목(로컬 보안 정책..사용자 권한 활성화됨)도 표시됩니다.

따라서 해당 명령은 내가 이미 말했거나 보여준 것 외에는 특이한 것을 표시하지 않습니다.

(그리고 댓글 작성자 scott의 다른 질문에 관해서는 안전 모드가 아니고 새로 설치한 것도 아니며 어쨌든 이 동작이 발생하는 것은 아닙니다. 그리고 댓글 작성자가 언제 시작했는지 묻는 질문에 관해서입니다. 이 행동이 언제부터 시작되었는지는 알 수 없습니다.)

이전에도 댓글이 있었는데 지금은 없어졌습니다. 한 사람은 수리 설치를 제안했지만 어떤 설정으로 인해 이 문제가 발생할 수 있는지 궁금합니다.

댓글 작성자 Scott이 "netplwiz를 실행하면 어떻게 되나요?"라고 묻습니다. 음, Windows 키 + R(이전 실행 대화 상자 표시)을 누르고 를 입력하는 것과 같습니다 control userpasswords2<ENTER>. 사용자가 로그인하기 위해 비밀번호를 입력해야 하는지 여부와 자동으로 로그인할 수 있는 사용자를 설정하는 화면이 표시됩니다.

하지만 이 모든 것은 관련이 없습니다. 관리자 계정이 숨겨져 있지 않지만 관리자로 로그인하지 않습니다. 내가 보여준 것처럼 echo %username% 나는 '사용자'로 로그인했습니다.

댓글 작성자 "HelpingHand"는 "열 추가, "Elevated" 및 "UAC Virtualization"을 말합니다. cmd의 상위 프로세스인 Explorer의 상승된 상태는 무엇입니까? "Elevated=No", "UAC Virtualization-disabled"입니까? 아마도 초점을 맞출 것입니다. 프로세스 모니터가 실행 중인 상태에서 cmd.exe를 실행합니다. 트리 보기에서 위의 확인된 Explorer.exe 프로세스의 하위 프로세스인지 확인하고 Explorer.exe로 CreateProcess 작업을 확인합니다. 특히 CreateProcess를 호출하는 스택을 실행하려면 스크린샷을 붙여넣는 것이 좋습니다.

Windows 7에는 "상승" 열이 없습니다! Elevated 열은 Windows 10에만 해당됩니다(Win8도 가능하지만 Win8은 누가 신경쓰나요). Win10에서 열은 탭마다 다르며 Win10의 세부 정보 탭과 연결됩니다. Win7에서는 열이 탭별로 지정되지 않으며 "상승된" 열이 없습니다.

또한 훌륭한 프로그램인 프로세스 모니터를 언급하셨는데, 트리를 의미하는 것은 프로세스 탐색기를 의미하는 것 같습니다. 프로세스 모니터에는 프로세스 트리가 표시되지 않습니다. 프로세스 탐색기가 됩니다. 두 프로그램 모두 현재 MS에서 제공되는 sysinternals/Mark Russinovich가 만든 훌륭한 프로그램입니다. 작업별 필터링과 같은 작업을 언급하는 경우 프로세스 모니터를 의미합니다. ThreadCreate가 있지만 볼 수 있는 CreateProcess가 없습니다.

문제가 없는 상당히 최신의 일반 Windows 7 시스템을 살펴보겠습니다. 프로세스 탐색기는 cmd.exe 프로세스가 "탐색기" 아래에 표시되는 explorer.exe 프로세스의 하위 프로세스임을 보여주고, 이를 두 번 클릭하면 상위 프로세스가 explorer.exe 인스턴스임을 나타냅니다. 다양한 프로세스를 살펴보면 일부는 UAC 가상화가 허용으로 설정되어 있고 일부는 비활성화로 설정되어 있습니다. Explorer에서는 비활성화로 설정되어 있습니다. cmd에서는 비활성화로 설정되어 있습니다.

문제의 Windows 7 시스템을 살펴보면 프로세스 탐색기를 보면 두 개의 탐색기 프로세스가 보입니다. cmd는 둘 중 하나에도 표시되지 않습니다. 하지만 cmd를 두 번 클릭하면 explorer.exe가 상위 프로세스라고 표시됩니다. 작업 관리자를 보면 UAC가 비활성화된 프로세스가 없습니다. Explorer에서는 "허용되지 않음"으로 설정되어 있고 cmd에서는 "허용되지 않음"으로 설정되어 있습니다. 두 개의 탐색기 프로세스 중 하나에는 "/factory...."라는 명령줄이 있고, 다른 하나는 explorer.exe에 대한 일반적인 호출입니다. Process Explorer는 cmd.exe의 PPID(부모 프로세스 ID/PPID)를 보여주며 방금 정상적으로 호출된 explorer.exe의 인스턴스와 일치합니다.

ThreadCreate 작업과 스택 탭을 살펴보는 프로세스 모니터 정보는 여기에 붙여넣기되어 있습니다.

거기에 타사 모듈이 있는지 고려하라고 언급했습니다. 거기에는 타사 모듈/dll 또는 exe가 표시되지 않습니다.