标签: uac

在专业上，我作为标准用户运行了十年，并且掌握了使用 runas 管理企业的所有小技巧和窍门。现在在 trots UAC 中，虽然它使某些情况变得更容易......在大多数情况下，这一切都妨碍了我。

我是管理员，Outlook 是在我的电脑上运行的唯一一个不需要提升凭据的进程！然而，我整天不仅接受提示，而且每天输入密码 200 多次。我相信真正的安全 UAC 提供了我的环境，但是密码一遍又一遍……令人抓狂。

我的问题是，UAC 强制我们运行标准用户是否安全？我们可以回到新台币时代吗？您是否足够信任 UAC 以使用您的管理员帐户登录？UAC 是否足以保护您的域凭据？

更新：换句话说，我们是否将 UAC 与 sudo 放在同一级别？是的，会有漏洞，但是我们可以开始围绕这个功能重新组织我们的业务，还是为了保护我的妈妈（还没准备好迎接黄金时段）？

在正确安装普通软件时，其可执行文件将位于程序文件文件夹中；它在用户的应用程序数据文件夹中的用户数据；它是所有用户应用程序数据文件夹中的非用户特定数据；它通常应该能够在非管理权限下运行。这些指南在 XP 上很容易被忽略，但由于 UAC，它们在 Vista 和 7 上是一个问题。

我们即将发布我们软件的主要版本。这是一个 CMS，被我们的客户用作他们的主要工作工具，他们的 IT 人员对它非常熟悉。如果我们想要与 Windows 7 完全兼容，我们必须进行相当多的更改，而且我们的日程安排已经很紧了。

问题是：我们可以轻松地让我们的客户在程序文件之外安装我们的软件，或者让他们以管理员身份运行它。我认为这是错误的，但我需要一些弹药：为什么我们要安装在程序文件上，以及随之而来的所有限制？

编辑：

1. 我在这里问这个是因为我想得到 IT 人员的意见。对于程序员的输入，我可以问我旁边的人而不是 stackoverflow。这不是一个编程问题。
2. 我问这个是因为我们想让我们的软件更好。旧的安装习惯可以追溯到大约 15 年前，当时软件刚被创建。修复它的安装是一个优先事项，没有别的。更糟的是，它会推迟到下一个版本。

在 Windows Server 2008 R2 上，当您启动资源管理器时，用户帐户控制设置处于第三高级别，as administrator它似乎并未实际授予该进程的管理权限。

有没有办法让 UAC 留在那个级别并能够以真正的管理员身份启动资源管理器进程？

你好，

我正在玩 Powershell（相对 NewBie），我正在寻找从另一个脚本中调用具有提升权限的 Powershell 脚本的最简单方法。

我知道 start-process 的 runas 动词，它允许我使用不同的帐户启动一个新脚本。然而，我的问题是，在 Vista（UAC 活动）下，每个管理员帐户都有两个访问令牌，一个是普通权限，一个是提升权限。

如果我使用 runas 方法，第二个脚本将在正确的帐户下启动，但使用非提升的访问令牌。有没有简单的方法来控制这个？

非常感谢你的帮助！

乌尔里希

我是我们域中 Windows Server 2003 R2 机器上的本地管理员。这台机器是大约 3 年前制造的，我不确定我可能拥有什么特权。如果我使用 ntrights.exe（来自资源工具包工具），它会成功，如下所示：

ntrights.exe +r SeServiceLogonRight -u domain\accountname
 Granting SeServiceLogonRight to domain\accountname   ... successful

最近我们构建了一台新的 windows server 2008 R2 机器，我是它的本地管理员。但现在同样的 ntrights.exe 失败如下：

ntrights.exe +r SeServiceLogonRight -u domain\accountname
Granting SeServiceLogonRight to domain\accountname   OpenPolicy:

***Error*** OpenPolicy -1073741790

尽管是本地管理员，但我似乎缺少一些特权。我需要什么权限才能要求我们的系统管理员帮助我授予这些权限？

编辑：通过使用控制面板-> 用户帐户设置中的滑块将 UAC 设置更改为从不通知来解决该问题。但我认为这不是解决这个问题的最好方法。其他答案仍然欢迎。

我们即将推出几百运行Windows 7 64位系统的新机，通过安装了OS WDS因此现在我们可以做出改变和SYSPREP他们放入构建。

问题是我们多年前编写的一个 .NET 应用程序，它本身产生了一个修改过的命令外壳。该 shell 运行一个DataFlex (DataFlex 3.2 dfrunco​​n) 应用程序，该应用程序本身需要以提升的权限运行。

我们不授予用户任何一般管理员权限。

是否有一种机制可以让我们预先允许我们的 .NET 应用程序以管理员身份运行，以便命令控件以管理员身份运行？

我知道我可以在app.manifest文件中进行更改以要求程序以管理员身份运行。我不知道我如何（作为管理员）配置机器以允许发生这种情况，而无需为用户提供比我希望他们拥有的更多权限或凭据。是否有类似于CasPol 的东西允许我指定给定的 EXE 文件可以以管理员身份运行？如果没有，我到底要如何弄清楚用户需要拥有哪些权限才能允许 DataFlex 的 dfrunco​​n 运行？

我有一个 Windows 2012 域，其中有几个 Windows 8 x64 Enterprise 成员。我想使用组策略将驱动器 X: 映射到文件服务器上的文件夹。驱动器 X: 应该在 Windows 8 机器上可用于提升和非提升的程序。我已经配置了组策略来创建映射驱动器（x:\ 映射到\\filer\stuff\user1\machine1）。并且 - 因为我知道提升/非提升问题 - 组策略在客户端的注册表中设置 EnableLinkedConnections 项。

到目前为止，一切都很好，我在 Windows 8 机器（域用户/本地管理员）上使用我的帐户登录，打开一个非提升的命令提示符，查找 X:\ 并找到它正确映射到\\filer\stuff\user1\machine1. 接下来，我打开一个提升的命令提示符，我在那里也有一个 X:\ 所以“EnableLinkedConnections”设置有效，但是 - 这让我发疯 - X:\ 没有映射到这里的预期位置。在提升的上下文中，它被映射到\\filer\stuff. 谁能解释一下原因？两个映射都基于组策略中的相同配置，所以我真的希望它们是相同的。

第一个想法是它可能是一个权限问题，但即使在提升的命令提示符下，我也可以毫无问题地导航到预期的目标文件夹。任何人的想法？

在Windows系统（特别是我使用的Windows Server 2008R2）中，有时当我将本地用户添加到本地组时，用户需要注销并重新登录，然后才能将这个新组注册给他。

但有时，组注册会立即完成.. 无需用户注销并再次登录..

为什么会这样？

不像听起来那么愚蠢;)

我有一个没有来源的第三方应用程序。官方支持适用于 XP 及更高版本 - 但仅在 UAC 关闭时更高。这是我不想要的。

现在，我认识程序员，如果工作量不大，他们愿意做出改变，我可以告诉他们需要做什么。

我知道启动多个可执行文件的应用程序在没有提升权限的情况下启动时无法获得网络连接 - 但似乎没有打开的端口在 loer 范围内（根据 netstat -b

是否有试图找出应用程序需要提升权限的原因的指南？该应用程序对业务至关重要 - 这目前颠覆了安全性，因为用户必须是本地管理员。如果有人有想法 - 一旦我找到原因，我确信我可以让供应商实施更改。

我实现了一个小工具，它允许通过 WMI 覆盖值来更改选定网络接口 (NIC) 的 IP 设置。我注意到该工具只有在使用“以管理员身份运行”选项启动时才能更改设置。

我应该授予用户哪个 WMI 权限，以便可以在没有提升权限的情况下写入更改的值？