У нас есть сервер Windows 2008R2, на котором выполняются наши сценарии сборки.
На данный момент невозможно исправить наши скрипты, чтобы они могли работать без повышения прав. Пожалуйста, не беспокойтесь. Это является в настоящее время более вероятно рискнуть сломать машину или открыть дыру в безопасности, чем исправить все сторонние приложения, которые используют скрипты.
Я нашел 2 варианта политики локальной безопасности, которые, как я подумал, могу использовать:
User Account Control: Admin Approval Mode for the Built-in Administrator account
и
User Account Control: Run all administrators in Admin Approval Mode
Второй в основном полностью отключает UAC, поэтому все учетные записи администратора всегда будут запускать все, что запущено с полным повышением прав. (Если я правильно понимаю.)
Первый, тем не менее, меня заинтересовал: очевидно, что встроенная учетная запись администратора имеет возможность (по умолчанию) всегда запускать что-либо с повышенными правами.
Возможно ли каким-то образом включить этот параметр для учетной записи пользователя домена, чтобы мы могли запускать наши сценарии от имени этого пользователя, полностью обходя UAC для сценариев, но сохраняя UAC для всего взаимодействия человека с сервером?
Похоже, что лучший способ справиться - это создать OU для рабочих станций или для определенной группы людей, группу безопасности, и создать групповую политику, связанную с OU или группой безопасности. В котором единственным изменением политики будут параметры UAC ... Скорее, я должен сказать, связать его с OU и отфильтровать по группе безопасности ...