gsudo - Windows 版的 sudo

gsudo 是 Windows 的 sudo 等效工具，提供与原版 Unix/Linux sudo 类似的用户体验。它允许你在当前控制台窗口或新窗口中以提升的权限运行命令（或重新启动当前 shell）。

只需在命令前加上 gsudo（或 sudo 别名），它就会以提升的权限运行。对于 PowerShell，使用此语法：gsudo { ScriptBlock }

每次都会出现一个 UAC 弹窗。如果启用 gsudo 缓存，你会看到更少的弹窗。

它能检测你当前的 shell 并将你的命令作为原生 shell 命令提升权限。（支持 Cmd、PowerShell、WSL、git-bash、MinGW、Cygwin、Yori、Take Command、BusyBox 和 NuShell。）

演示

gsudo 演示

（使用 gsudo config CacheMode auto）

特性

提升权限的命令显示在当前控制台中。不会打开新窗口（除非你指定 -n）
凭据缓存：如果用户选择启用缓存，gsudo 可以多次提升权限，但只显示一次 UAC 弹窗。
检测你当前的 shell（支持 CMD、PowerShell、WSL、Bash for Windows（Git-Bash/MinGW/MSYS2/Cygwin）、Yori、Take Command 和 NuShell），并正确提升你的命令权限。
支持在脚本中使用：
- 标准输出/标准错误输出可以被管道传输或捕获（例如 gsudo dir | findstr /c:"bytes free" > FreeSpace.txt），退出代码也可以（%errorlevel%）。如果 gsudo 提权失败，退出代码将为 999。
- 如果从已提升权限的控制台调用 gsudo，它将直接运行命令（不会失败）。因此，你无需担心从已提升权限的控制台运行 gsudo 或使用 gsudo 的脚本。（不会出现 UAC 弹窗，因为不需要提权）
gsudo !! 提升最后执行的命令的权限。适用于 CMD、Git-Bash、MinGW、Cygwin（仅 PowerShell 需要 gsudo 模块）

安装

使用 Scoop：scoop install gsudo
使用 WinGet：winget install gerardog.gsudo
使用 Chocolatey：choco install gsudo

运行此行：(脚本)：

PowerShell -Command "Set-ExecutionPolicy RemoteSigned -scope Process; [Net.ServicePointManager]::SecurityProtocol = 'Tls12'; iwr -useb https://raw.githubusercontent.com/gerardog/gsudo/master/installgsudo.ps1 | iex"

便携版：
1. 从最新发布下载 gsudo.portable.zip
2. 从 zip 文件中提取与你的处理器架构（x64、x86 或 arm64）对应的文件夹到计算机上合适的目录。
3. 如果该目录尚未可访问，可以选择将其添加到系统的 PATH 环境变量中。

安装后请重新启动所有控制台窗口，以确保 PATH 环境变量已更新。

注意：gsudo.exe 是便携式的。不需要 Windows 服务，也不会进行系统更改，除了将其添加到 Path 中。

使用方法

gsudo [选项]                  # 以提升的权限启动当前 shell
gsudo [选项] {命令} [参数]     # 以提升的权限运行 {命令}
gsudo cache [on | off | help] # 启动/停止凭据缓存会话。（减少 UAC 弹窗）
gsudo status [--json | 过滤器] # 显示当前用户、缓存和控制台状态。
gsudo !!                      # 以管理员身份重新运行上一条命令。（因环境而异）

新窗口选项：
 -n | --new            # 在新控制台/窗口中启动命令（并立即返回）。
 -w | --wait           # 在新控制台中时，等待命令结束。
 --keepShell           # 运行命令后，保持提升权限的 shell 开启。
 --keepWindow          # 在新控制台中运行命令后，在关闭控制台/窗口前等待按键。

安全选项：
 -u | --user {用户}     # 以指定用户身份运行。询问密码。对于本地管理员，除非 '-i Medium' 否则显示 UAC。
 -i | --integrity {值}  # 指定完整性级别：Untrusted、Low、Medium、MediumPlus、High（默认）、System
 -s | --system         # 以本地系统账户（NT AUTHORITY\SYSTEM）运行。
 --ti                  # 作为 NT SERVICE\TrustedInstaller 的成员运行
 -k                    # 删除所有缓存的凭据。下次运行 gsudo 时会出现 UAC 弹窗。

Shell 相关选项：
 -d | --direct         # 跳过 Shell 检测。假定为 CMD shell 或 CMD {命令}。
 --loadProfile         # 提升 PowerShell 命令权限时，加载用户配置文件。

其他选项：
 --loglevel {值}       # 设置要显示的最低日志级别：All、Debug、Info、Warning、Error、None
 --debug               # 启用调试模式。
 --copyns              # 将网络驱动器连接到提升权限的用户。警告：详细，交互式询问凭据
 --copyev              # （已弃用）将环境变量复制到提升权限的进程。（默认控制台模式下不需要）
 --chdir {目录}         # 在运行命令前将当前目录更改为 {目录}。

注意： 你可以在任何地方使用安装程序创建的 sudo 别名。

示例：

gsudo   # 在当前控制台窗口中提升当前 shell 的权限（支持 Cmd/PowerShell/Pwsh Core/Yori/Take Command/git-bash/cygwin）
gsudo -n # 在新的控制台窗口中以提升的权限启动当前 shell
gsudo -n -w powershell ./Do-Something.ps1 # 在新窗口中启动并等待退出
gsudo notepad %windir%\system32\drivers\etc\hosts # 启动 Windows 应用程序

sudo notepad # 内置的 sudo 别名

# 重定向/管道输入/输出/错误示例
gsudo dir | findstr /c:"bytes free" > FreeSpace.txt

gsudo config LogLevel "Error"          # 配置减少日志记录
gsudo config Prompt "$P [elevated]$G " # 配置自定义提升权限提示符
gsudo config Prompt --reset            # 重置为默认值

# 启用凭据缓存（减少 UAC 弹窗）：
gsudo config CacheMode Auto

在 PowerShell / PowerShell Core 中的用法

gsudo 检测到是否从 PowerShell 调用，并提升 PS 命令权限（除非使用 -d 来提升 CMD 命令权限）。

要提升权限的命令将在不同的进程中运行，因此无法访问父进程的 $变量 和作用域。

要提升命令或脚本块的权限：用{大括号}将其包裹起来。

# 语法：
gsudo { 脚本块 }
gsudo [选项] { 脚本块 } [-args $参数1[..., $参数N]] ;

# 示例：
gsudo { Write-Output "Hello World" }

# 使用 -args 传递参数
$MyString = "Hello World"
gsudo { Write-Output $args[0] } -args $MyString  

# 输出被序列化为带属性的 PSObjects。
$services = gsudo { Get-Service 'WSearch', 'Winmgmt'} 
Write-Output $services.DisplayName

# 输入也是：列表提升权限迭代的示例。
Get-ChildItem . | gsudo { $Input.CreationTime}

替代语法：

<details> <summary>2. Invoke-gsudo 包装函数：（速度慢很多）</summary>

# 通过在变量前加 `$using:` 前缀来传递值（不是通过引用传递变量）。例如：

$MyString = "Hello World"
Invoke-Gsudo { Write-Output $using:MyString }  

# 语法：
Invoke-Gsudo [-ScriptBlock] <ScriptBlock> 
             [[-ArgumentList] <Object[]>] 
             [-InputObject <PSObject>] 
             [-LoadProfile | -NoProfile] 
             [-Credential <PSCredential>]

- PowerShell 函数。
- 自动执行输入和输出的序列化。 
- 你可以在变量前加上 `$using:` 作用域修饰符（如 `$using:variableName`），其序列化值将被应用。
- 使用 `-LoadProfile` 或 `-NoProfile` 来覆盖是否加载配置文件。
- 使用 `-Credential` 选项来以其他用户身份运行（与 `-u` 相同，但用于 `Get-Credentials`）。
- 更好地将当前上下文转发到提升权限的实例（当前位置，$ErrorActionPreference）

</details> <details> <summary>3. 手动字符串插值。（不推荐）</summary> 我不推荐这种方法，因为正确转义所有特殊字符非常困难。

用法：gsudo '字符串字面量'

# 变量替换示例：
$file='C:\My Secret.txt'; 
$algorithm='md5';
$hash = gsudo "(Get-FileHash '$file' -Algorithm $algorithm).Hash"
# 或 
$hash = gsudo "(Get-FileHash ""$file"" -Algorithm $algorithm).Hash"

接受一个包含要提升权限的命令的字符串字面量。
返回一个字符串列表。

</details>

PowerShell 模块

<a name="gsudomodule"></a> 可选：将 gsudoModule.psd1 模块导入到你的 PowerShell 配置文件中：
- 为 PowerShell 中的 gsudo 添加语法自动完成功能。此外，它还会建议最近使用的 3 个命令，使你的工作流程比以往更加顺畅！
- 在 Powershell 中启用 gsudo !!，以提升最后执行的命令的权限。
- 添加以下函数：
  - Test-IsGsudoCacheAvailable 如果 gsudo 缓存处于活动状态（意味着可以无需 UAC 提升权限），则返回 true。
  - Test-IsProcessElevated：如果当前进程已提升权限，则返回 true。
  - Test-IsAdminMember：如果当前用户是 本地管理员 组的成员，则返回 true，这意味着它可以提升权限。
```
# 将以下行添加到你的 $PROFILE 中 
Import-Module "gsudoModule"

# 或运行：
Write-Output "`nImport-Module `"gsudoModule`"" | Add-Content $PROFILE
```
- 如果你还没有自定义你的 PowerShell 提示符（例如通过安装 Oh-My-Posh），你可以轻松添加一个红色的 # 来指示当前进程已提升权限：
要这样做，请在导入 gsudoModule 后将此行添加到你的配置文件中：
```
Set-Alias Prompt gsudoPrompt
```

在 WSL（Windows 子系统 for Linux）中的用法

在 WSL 中，提升权限和 root 是不同的概念。root 允许完全管理 WSL，但不能管理 Windows 系统。使用 WSL 原生的 su 或 sudo 来获得 root 访问权限。要在 Windows 系统上获得管理员权限，你需要提升 WSL.EXE 进程的权限。gsudo 允许这样做（会出现 UAC 弹窗）。

在 WSL bash 中，在命令前加上 gsudo 来提升 WSL 命令的权限，或使用 gsudo -d 来提升 CMD 命令的权限。

# 提升默认 shell 的权限
PC:~$ gsudo 

# 运行提升权限的 WSL 命令
PC:~$ gsudo mkdir /mnt/c/Windows/MyFolder

# 运行提升权限的 Windows 命令
PC:~$ gsudo -d notepad C:/Windows/System32/drivers/etc/hosts
PC:~$ gsudo -d "notepad C:\Windows\System32\drivers\etc\hosts"

# 测试 gsudo 和命令是否成功
retval=$?;
if [ $retval -eq 0 ]; then
    echo "成功";
elif [ $retval -eq $((999 % 256)) ]; then # gsudo 失败退出代码（999）在 wsl 中读取为 231（999 mod 256）
    echo "gsudo 无法提升权限！";
else
    echo "命令失败，退出代码为 $retval";
fi;

配置

 gsudo config                          # 显示当前配置设置和值。
 gsudo config {键} [--global] [值]     # 读取或写入用户设置
 gsudo config {键} [--global] --reset  # 将配置重置为默认值
 --global                              # 影响所有用户（覆盖用户设置）

凭据缓存

如果启用并激活 凭据缓存，可以从父进程多次提升权限，只需一次 UAC 弹窗。5 分钟内没有提升权限操作，缓存会话会自动关闭（可通过 gsudo config CacheDuration 配置超时时间）。

虽然这非常方便，但了解其潜在的安全风险很重要。即使 gsudo 本身是安全的，主机进程也存在固有的漏洞。如果你的系统已经被恶意进程入侵，它可以操纵允许的进程（例如 Cmd/Powershell），并强制活动的 gsudo 缓存实例在不触发 UAC 提示的情况下提升权限。

这种风险是使用凭据缓存的代价。只要你确信系统上没有运行恶意进程，使用缓存就是安全的。以下是"凭据缓存"模式：

"显式"：（默认）每次提权都会显示 UAC 弹窗，除非手动启动缓存会话...
- 要启动或停止缓存会话，请运行：gsudo cache {on | off}
- 这是默认模式。（使用 gsudo config CacheMode Explicit 可恢复此值）
"自动"：类似于 unix-sudo。首次提权会显示 UAC 弹窗并自动启动缓存会话。
- 运行 gsudo config CacheMode Auto 以使用此模式。
"禁用"：每次提权都会显示 UAC 弹窗，尝试启动缓存会话将会报错。
- 运行 gsudo config CacheMode Disabled 以使用此模式。

在任何情况下，您都可以使用 gsudo -k 停止所有缓存会话。

了解更多

已知问题

提权实例无法访问非提权空间中连接的网络共享。这不是 gsudo 的问题，而是 Windows 的工作方式。使用 --copyNS 可以将网络共享复制到提权会话中，但这不是双向的，而且是交互式的（可能会提示输入用户名/密码）。
gsudo.exe 可以放在网络共享上并通过 \\server\share\gsudo {command} 调用，但如果您的当前文件夹是网络驱动器则无法工作。例如，不要将 \\server\share\ 映射到 Z: 然后执行 Z:\>gsudo do-something。
请在 Issues 部分报告问题。

常见问题

为什么命名为 gsudo 而不是 sudo？

当我创建 gsudo 时，大多数流行的 Windows 包管理器（如 Chocolatey 和 Scoop）上已经有其他 sudo 包，所以我别无选择只能选择另一个名称。gsudo 安装程序会为 sudo 创建一个别名，所以您可以随意在命令行中使用 sudo 来调用 gsudo。
为什么从 .Net Framework 4.6 迁移到 .Net Core 7.0？

从 v1.4.0 开始，它使用 .Net 7.0 NativeAOT 构建。它加载更快、使用更少的内存，并且可以在没有安装任何 .Net 运行时的机器上运行。早期版本 <v1.3.0 使用 .Net 4.6，因为它包含在每个 Windows 10/11 安装中。
gsudo 是 *nix sudo 的移植版吗？

不是。gsudo 在用户期望方面类似于原始 sudo。许多 sudo 功能是 *nix 特有的，无法在 Windows 上实现。其他功能（如 sudoers）理论上可以实现，但目前尚未实现。
有什么要求吗？它在 Windows 7/8 上能工作吗？

它适用于 Win7 SP1 及以上版本。某些功能可能仅在 Windows 10/11 上工作，比如以 TrustedInstaller 身份提权。
使用 gsudo 后如何返回之前的安全级别？

方法与 Unix/Linux sudo 相同：gsudo 不会更改当前进程，而是以不同的权限/完整性级别启动新进程。要返回之前的级别，只需结束新进程。对于 命令提示符 或 PowerShell，只需输入 exit。