Назад | Перейти на главную страницу

Предотвращает ли UAC доступ для записи в папку программ?

У нас есть устаревшее приложение на нескольких клиентских сайтах. В некоторых случаях клиентам требуется доступ на запись к одной или двум папкам в папке Program Files (x86).

Со временем все больше и больше клиентов включают UAC на своих серверах, поэтому сейчас мы сталкиваемся с простым препятствием.

Мы можем применить обычную безопасность Windows / общего ресурса, но у них по-прежнему нет доступа на запись. Фактически, как местный администратор, я имею эти привилегии только через программу с повышенными правами.

За исключением изменения местоположения программы (более крупная задача), могу ли я каким-либо образом предоставить доступ для записи в ограниченную папку ограниченным пользователям, пока усилия разработчиков по изменению программы продолжаются?

Я знаю, что могу отключить VirtualStore, но стараюсь этого избежать.

Если не считать переписывания программы, нет. Для записи в защищенные области (включая программные файлы) требуется повышение прав независимо от списков контроля доступа NTFS.

Вот список действий, запускающих UAC.

Попробуйте настроить папки так, чтобы у них был необходимый доступ, предоставленный группе, членом которой является учетная запись, в которой запущено приложение. И не группа администраторов, поскольку для этого потребуется повышение прав, потому что по умолчанию членство в группе администраторов отключено.

Это не относится к системным папкам. Если вы попытаетесь выполнить действие, такое как копирование файлов в папку, к которой у вас был необходимый доступ через группу «Администраторы», потребуется повышение прав. На самом деле не имеет значения, где находится папка.

Другой вариант - уровень целостности папки. Процесс, работающий со средним или низким уровнем целостности, не сможет выполнять запись в папку, отмеченную как высокий уровень целостности. Вы можете просмотреть уровень целостности с помощью icacls.exe, а уровень целостности процесса / службы с помощью Process Explorer.

C:\>icacls .
. BUILTIN\Administrators:(F)
  BUILTIN\Administrators:(OI)(CI)(IO)(F)
  NT AUTHORITY\SYSTEM:(F)
  NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
  BUILTIN\Users:(OI)(CI)(RX)
  NT AUTHORITY\Authenticated Users:(OI)(CI)(IO)(M)
  NT AUTHORITY\Authenticated Users:(AD)
  Mandatory Label\High Mandatory Level:(OI)(NP)(IO)(NW)