如何以管理员身份运行CMD命令窗口？

一、基础操作：如何以管理员身份运行CMD命令提示符

在Windows操作系统中，命令提示符（CMD）默认以当前用户权限运行。当执行涉及系统级资源的操作时，如修改注册表项、管理服务或更改网络配置，必须提升权限至管理员级别。以下是几种常见方式：

1. 开始菜单搜索法：点击“开始”按钮，输入“cmd”或“命令提示符”，在搜索结果中右键选择“以管理员身份运行”。
2. Win + X 快捷菜单：按下 <kbd>Win + X</kbd> 组合键，在弹出的高级用户菜单中选择“命令提示符（管理员）”或“Windows PowerShell（管理员）”。
3. 任务管理器启动：打开任务管理器 → 文件 → 运行新任务 → 输入“cmd”，勾选“创建此任务时使用管理员权限” → 确定。
4. 桌面快捷方式：创建CMD快捷方式，右键属性 → “快捷方式”选项卡 → “高级” → 勾选“用管理员身份运行”。

二、深入理解UAC与权限提升机制

用户账户控制（User Account Control, UAC）是Windows安全架构的核心组件之一，用于防止未经授权的系统变更。即使用户属于Administrators组，其初始令牌仍为“标准用户”模式，仅在显式请求提权时触发UAC对话框。

三、验证CMD是否真正具备管理员权限

有时尽管选择了“以管理员身份运行”，CMD仍可能未获取完全权限。可通过以下方法验证当前会话完整性级别：

:: 检查当前进程完整性级别
whoami /groups | findstr "Mandatory Label"

:: 输出示例：
:: Mandatory Label\High Mandatory Level  表示高完整性（管理员）
:: Mandatory Label\Medium Mandatory Level 表示普通用户

若输出包含“High Mandatory Level”，则说明已成功提权；否则可能存在策略限制或账户问题。

四、排查权限不足的根本原因

即使尝试了上述方法，部分用户仍遭遇“拒绝访问”错误。根本原因通常如下：

• 当前登录账户未加入“Administrators”本地组。
• 组策略（GPO）禁用了提权功能或限制特定用户的权限。
• 第三方安全软件拦截了提权请求。
• 系统处于“安全模式”且未正确加载UAC组件。
• 使用远程桌面连接时，默认不分配完全管理员令牌。

五、解决方案与最佳实践

为确保CMD始终以最高权限运行，建议采取以下综合措施：

1. 确认账户属于“Administrators”组：
   net localgroup Administrators 查看成员列表。
2. 检查并调整UAC设置：
   控制面板 → 用户账户 → 更改用户账户控制设置 → 调整至合适级别。
3. 通过组策略验证权限分配：
   运行 gpedit.msc → 计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 用户权限分配。
4. 使用PsExec工具绕过常规限制（适用于调试）：
   psexec -i -s cmd.exe 可启动SYSTEM级别的CMD会话。

六、自动化脚本与流程图辅助管理

对于IT运维人员，可编写批处理脚本自动检测并请求提权：

@echo off
>nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system"
if '%errorlevel%' NEQ '0' (
    echo 请求管理员权限...
    goto UACPrompt
) else ( goto gotAdmin )

:UACPrompt
    echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
    echo UAC.ShellExecute "cmd.exe", "/k cd \"%cd%\" && %*", "", "runas", 1 >> "%temp%\getadmin.vbs"
    "%temp%\getadmin.vbs"
    exit /B

:gotAdmin
    echo 已获得管理员权限，继续执行任务...
    cmd /k