Как запретить повышение прав для программы?

есть ли у Windows "автоматически отклонять запросы на повышение" список?

если пользователь "стандартный пользователь", можно иметь Windows автоматически отклонять любые запросы на повышение прав изменение ConsentPromptBehaviorUser групповой политики автоматически отклонять запросы на повышение прав:

  • Prompt for credentials on the secure desktop. (по умолчанию) когда операция требует повышения из привилегий пользователю предлагается на безопасном рабочем столе ввести другое имя пользователя и пароль. Если пользователь вводит действительные учетные данные, операция продолжается с соответствующими привилегиями
  • Prompt for credentials когда операция требует повышения прав, пользователю предлагается ввести имя пользователя с правами администратора и пароль. Если пользователь вводит действительные учетные данные, операция продолжается с соответствующими привилегиями
  • Automatically deny elevation requests когда операция требуется повышение привилегий, отображается настраиваемое сообщение об ошибке отказано в доступе. Предприятия, которые работают в режиме обычного пользователя может выбрать этот параметр, чтобы уменьшить звонки

это полезно в ситуации, когда программа может предложить поднять, но это потребует парень из службы поддержки, чтобы запустить три здания над (ввести их через плечо учетные данные). Только как только они туда попадают, они обнаруживают, что пользователь не стоит запускать эту программу.

мы хочу приложение для запуска от имени обычного пользователя (возможно получение доступ запрещен ошибки), так как это правильный ответ.

но этот параметр относится к all программы, поднять. Можно ли

  • выбрать программу, или
  • добавить его в список

так что он автоматически отклоняется запросы на повышение прав, и работает как обычный пользователь?

проблема возникает, когда программа была ошибочно:

  • помечен как requestedExecutionLevel на requireAdministrator во встроенном или внешнем манифесте
  • была опция совместимости" запустить эту программу имеет администратора " проверена
  • определяется как программа установки (например, называется install или setup) через EnableInstallerDetection эвристика

Примечание: предполагая, что приложение не имело манифеста, можно было бы предложить добавить манифест с указанием requestedExecutionLevel: asInvoker. Это решение также отключить виртуализацию файлов и реестра для приложения.

см. также

27
задан Scott
21.02.2023 6:41 Количество просмотров материала 2593
Распечатать страницу

1 ответ

возможное решение заключается в использовании двух согласованных политик:

  1. настроить уже упомянутые ConsentPromptBehaviorUser группа параметр политики автоматически отклонять запросы на повышение прав. Как указано на вопрос, это повлияет на все программы, которые запускаются.

  2. далее включить Контроль учетных записей: повышение прав только для исполняемых файлов подписаны и утверждены настройки политики. (от Microsoft) Этот параметр принудительно проверяет подписи инфраструктуры открытых ключей (PKI для любых интерактивных приложений, которые запрашивают повышение прав привилегия. Администраторы предприятия могут управлять приложениями разрешается выполнять путем добавления сертификатов доверенных издателей хранилище сертификатов на локальном компьютере.

  3. подпишите доверенные программы ключом организации и опубликуйте их в хранилище сертификатов доверенных издателей на всех компьютерах организация. Подробнее.

4
отвечен Jeremy W 2023-02-22 14:29

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя

Похожие вопросы про тегам:

elevation
privileges
uac
windows-vista
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх