Pertanyaan Izinkan hak administrator untuk program yang berjalan di bawah akun terbatas


Saya memiliki aplikasi yang saya dukung yang memerlukan izin untuk membaca dan menulis ke Registry dan juga membuat file pada disk dan CD-ROM.

Saya ingin menjalankan komputer menggunakan pengguna terbatas sehingga tidak ada yang dapat diinstal atau ditulis ke Registry tanpa sepengetahuan saya, tetapi tanpa meminta Windows untuk meminta kata sandi setiap kali program memerlukan akses Registry.

Dapatkah saya membuat pengguna terbatas, seperti program atau folder yang memiliki izin untuk melakukan apa pun yang ingin dilakukannya? Saya percaya program ini sepenuhnya karena saya tahu orang-orang yang mengkodekannya.


5
2017-07-11 22:35


asal


Saya mungkin salah memahami pertanyaan, tetapi mengapa Anda tidak dapat menggunakan perintah runas batch? - harrymc


Jawaban:


Izin biasanya ditugaskan untuk akun pengguna atau kelompok. Dengan demikian, cara standar untuk mencapai ini adalah dengan memberikan izin ke kunci dan folder registri yang relevan (dan memastikan bahwa relevan  kebijakan konfigurasi tidak mencegah pengguna menulis ke CD).

Izin CD mungkin sangat lengket jika tidak berfungsi dan semuanya tampak dikonfigurasi. Jika Anda menggunakan CD UDF (juga disebut paket menulis CD), Anda mungkin mengalami masalah. Dukungan untuk itu sedikit terkelupas, IMX, meskipun itulah cara kerja drag & drop burning di bawah Win7. Nero BurnRights digunakan untuk menjadi program yang akan menangani itu, tetapi itu hanya diperlukan pada Windows 2000 karena, secara default, pengguna standar di Windows XP dan kemudian memiliki izin untuk menulis ke media yang dapat dipindahkan. Itu benar-benar tergantung pada bagaimana program mencoba untuk menulis ke CD.

Satu-satunya alternatif untuk ini adalah dengan menggunakan toolkit Microsoft untuk membuat aplikasi yang tidak berperilaku baik dengan keamanan OS modern terus berfungsi: The Toolkit Kompatibilitas Aplikasi. Ini akan memungkinkan Anda untuk membuat aplikasi yang lebih lama berperilaku seolah-olah berjalan dengan hak yang lebih tinggi daripada pengguna biasanya, tetapi sangat rumit dan (jika rekan kerja saya dapat dipercaya) sangat menyakitkan untuk diatur. Anda pada dasarnya mengkonfigurasi program shim yang berjalan antara aplikasi dan OS, dan itu harus mengetahui semua yang akan dilakukan program. Anda hanya harus mempertimbangkan opsi ini jika Anda memiliki banyak waktu dan kebutuhan yang sangat mendalam dan Anda tidak dapat menggunakan NTFS dan izin registri untuk menyelesaikan hal yang sama.


4
2017-09-11 16:40





Gunakan sysinternals ProcMon.exe untuk menemukan hirarki registri dan hirarki filesystem yang dibutuhkan untuk bekerja. Kemudian setel registri yang relevan dan izin NTFS untuk memberikan hak istimewa paling sedikit kepada pengguna terbatas.

Ketika kumpulan hak-hak istimewa yang paling sedikit ditemukan untuk aplikasi ini berfungsi, pastikan sobat Anda "programmer" mempersempit jejak mereka dalam kode itu sendiri. Dengan begitu, versi baru akan berjalan sebagai pengguna terbatas tanpa memaparkan yoyr atrack surface.


3
2017-07-12 06:09





Jika "pengguna terbatas" dapat melakukan sesuatu yang memerlukan hak administratif, maka akun tidak terbatas. Anda bertentangan dengan diri Anda sendiri. Tidak ada yang bisa memiliki kue mereka dan memakannya juga.


-3
2017-07-12 01:15



-1. Pertanyaannya adalah meminta setara dengan Windows untuk membuat program setuid. - Scott
@Scott itu tidak benar-benar membutuhkan setuid equivalent, pengguna perlu ditambahkan ke grup cdrom sekalipun. - rjt
Kreemoweet, dia tidak meminta itu juga tidak dibutuhkan. Dia perlu menemukan set privileges yang paling sedikit yang memungkinkan program untuk bekerja. - rjt
Pertanyaannya mengatakan, "Saya memiliki aplikasi ... yang memerlukan (akses) ke Registry dan juga ...", dan, "Saya ingin menjalankan komputer menggunakan pengguna terbatas sehingga tidak ada lagi dapat diinstal atau ditulis ke Registry tanpa sepengetahuan saya ... ”, dan,“ Dapatkah saya membuat pengguna terbatas, seperti yang sebuah program ... memiliki izin untuk melakukan apa pun yang ingin dilakukannya?”(Penekanan ditambahkan). Jadi, dia mungkin menetap untuk solusi yang membutuhkan memberi pengguna hak istimewa yang cukup untuk menjalankan program, tetapi dia keinginan memberi pengguna akses Registry, dan memberikan kuasa / izin hanya ke programnya. - Scott