Можно ли отключить контроль учетных записей при установке программного обеспечения, но только для пользовательского набора пользователей или группы?
1 ответ
0
Это невозможно.
Теперь это ужасно разочаровывает, не так ли? Позвольте мне рассказать вам больше. Знания!
Во-первых, нет никакой разницы между программами установки и другими программами, требующими администрирования, в том, что касается Windows. Запрос на повышение прав выдается параметром в манифесте программы, а именно requestedExecutionLevel.
Причиной повышения программ является то, что важные папки, файлы и разделы реестра могут изменять только администраторы; нерелевантные администраторы в большинстве случаев являются обычными пользователями. Вы можете попытаться настроить ACL на этих объектах, чтобы позволить определенным пользователям писать в них, но есть некоторые проблемы: вы почти наверняка пропустили бы некоторые (вызывая странное поведение), но все равно были бы некоторые функции ОС, которые на законных основаниях требуют членства в Группа администраторов, которую вы хотите использовать, и вам придется разбить манифест программ установки (лишить законной силы их цифровые подписи), чтобы они не пытались поднять. Грусть вокруг. Не делай этого.
Если вы позволяете пользователям без прав администратора писать все, что они хотят, в местах, предназначенных только для администраторов, вы открываете огромную дыру в безопасности. Например, нет никакой практической разницы между установкой программ и их модификацией; злонамеренный пользователь может настроить часто запускаемые программы на плохие действия, а затем подождать, пока администратор их запустит. Вы, кажется, действительно интересуетесь группой «Опытные пользователи», но от администратора к ней требуется лишь небольшой скачок. Давайте посмотрим, что эта статья Microsoft KB говорит о группе «Опытные пользователи»:
Чтобы предотвратить эту проблему, используйте следующие методы:
- Не используйте группу «Опытные пользователи».
UAC работает, удаляя мощные членства в группах и привилегии из токенов входа пользователей. Токены - это, по сути, идентификатор, под которым запускается программа. Группа «Администраторы» всегда считается мощной группой, как и несколько других, таких как «Операторы резервного копирования». Собственная личность пользователя (и, следовательно, элементы управления доступом, которые конкретно ссылаются на пользователя по имени), сохраняются.
В настоящее время нет способа отключить поведение UAC только для некоторых пользователей. Однако встроенная учетная запись администратора по умолчанию запускается с полными привилегиями (т. Е. С отключенным контролем учетных записей). Кроме этого, вы не можете делать исключения в UAC.