Таким образом, у меня есть компьютер с общим доступом, в котором несколько пользователей RDP в.

У меня есть единственная учетная запись администратора, а остальные - стандартные учетные записи.

Один стандартный пользователь использует определенный набор программного обеспечения, который корректно работает только при запуске от имени администратора, это программное обеспечение также имеет функцию "Сохранить как". При запуске от имени администратора он открывает все файлы в проводнике всплывающих окон, которые не должны быть видны для стандартных учетных записей привилегий.

Можно ли каким-то образом запустить эту конкретную часть программного обеспечения как администратор со стандартной учетной записью привилегий, не раскрывая всю файловую систему?

Любые предложения полезны.

|источник

2 ответа2

2

Короче говоря: Нет. Если вы запускаете определенную часть программного обеспечения "как администратор", это раскрывает все. Если этого не произойдет, он не будет "как администратор".

Я вижу несколько вариантов:

  • Переместите это сложное программное обеспечение на другую машину, где вы можете изолировать его таким образом, чтобы позволить кому-то быть администратором только выставлять эту вторую машину, таким образом сводя к минимуму другие вещи, к которым у человека будет доступ.

  • Выясните, что, в частности, этому программному обеспечению требуется доступ, который, по-видимому, требует прав администратора Если программное обеспечение явно не проверяет членство в группе администраторов, а затем отказывается запускаться, если проверка оказывается ложной, возможно, вы можете сделать что-то более гранулярное. Программы, которые "нуждаются" в правах администратора, обычно делают что-то не так, и вы можете выяснить, какие повышенные права предполагаются программой. Примеры включают в себя:

    • Предоставление пользователю без прав администратора доступа на запись к месту, где находится исполняемый файл.
    • Предоставление пользователю без прав администратора доступа на запись к разделам реестра, которые использует программа.

Кроме того, если рассматриваемый пользователь является стандартной учетной записью, как он запускает эту программу от имени администратора? Они знают учетные данные администратора? Если это так, экспозиция выходит за рамки их запуска этой конкретной программы от имени администратора.

|источник
0

Если беспокоит то , что пользователь изменения файлов , а не видеть их, то вы могли бы выделить это приложение в песочнице, используя продукт такой Sandboxie.

Помещение этого приложения в изолированную программную среду гарантирует, что оно может изменять только файлы в изолированной программной среде, хотя оно все еще может читать все файлы.

Выяснить, где приложение хранит свои измененные файлы, будет означать поиск их в папке Sandboxie в C:\Sandbox или запуск Windows Explorer (или другого) в контексте песочницы.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .