У нас есть устаревшее приложение на нескольких клиентских сайтах. В некоторых случаях клиентам требуется доступ на запись к одной или двум папкам в папке Program Files (x86).
Со временем все больше и больше клиентов включают UAC на своих серверах, поэтому сейчас мы сталкиваемся с простым препятствием.
Мы можем применить обычную безопасность Windows / общего ресурса, но у них по-прежнему нет доступа на запись. Фактически, как местный администратор, я имею эти привилегии только через программу с повышенными правами.
За исключением изменения местоположения программы (более крупная задача), могу ли я каким-либо образом предоставить доступ для записи в ограниченную папку ограниченным пользователям, пока усилия разработчиков по изменению программы продолжаются?
Я знаю, что могу отключить VirtualStore, но стараюсь этого избежать.
Если не считать переписывания программы, нет. Для записи в защищенные области (включая программные файлы) требуется повышение прав независимо от списков контроля доступа NTFS.
Вот список действий, запускающих UAC.
Попробуйте настроить папки так, чтобы у них был необходимый доступ, предоставленный группе, членом которой является учетная запись, в которой запущено приложение. И не группа администраторов, поскольку для этого потребуется повышение прав, потому что по умолчанию членство в группе администраторов отключено.
Это не относится к системным папкам. Если вы попытаетесь выполнить действие, такое как копирование файлов в папку, к которой у вас был необходимый доступ через группу «Администраторы», потребуется повышение прав. На самом деле не имеет значения, где находится папка.
Другой вариант - уровень целостности папки. Процесс, работающий со средним или низким уровнем целостности, не сможет выполнять запись в папку, отмеченную как высокий уровень целостности. Вы можете просмотреть уровень целостности с помощью icacls.exe, а уровень целостности процесса / службы с помощью Process Explorer.
C:\>icacls .
. BUILTIN\Administrators:(F)
BUILTIN\Administrators:(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(F)
NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
BUILTIN\Users:(OI)(CI)(RX)
NT AUTHORITY\Authenticated Users:(OI)(CI)(IO)(M)
NT AUTHORITY\Authenticated Users:(AD)
Mandatory Label\High Mandatory Level:(OI)(NP)(IO)(NW)