我有一个我支持的应用程序,它需要读取和写入注册表以及在磁盘和 CD-ROM 上创建文件的权限。
我想使用受限用户运行计算机,这样在我不知情的情况下就不会安装任何其他东西或将任何其他东西写入注册表,但每次程序需要访问注册表时,Windows 都不会要求输入密码。
我可以设置一个受限用户,以便程序或文件夹有权执行任何它想做的事情吗?我完全信任这个程序,因为我认识编写它的人。
答案1
权限通常分配给用户帐户或者群组。因此,实现此目的的标准方法是为相关注册表项和文件夹分配权限(并确保相关的 政策配置不会阻止用户写入 CD)。
如果 CD 权限不起作用,并且所有东西都已配置,则 CD 权限可能会特别棘手。如果您使用的是 UDF CD(也称为数据包写入 CD),则可能会遇到问题。IMX,对此的支持有点不稳定,即使这是 Win7 下拖放刻录的工作方式。Nero BurnRights 曾经是一个可以处理这个问题的程序,但这应该只在 Windows 2000 上是必要的,因为默认情况下,Windows XP 及更高版本中的标准用户有权写入可移动媒体。这实际上取决于程序尝试写入 CD 的方式。
唯一的替代方案是使用微软的工具包,让那些不符合现代操作系统安全的应用程序继续运行:应用程序兼容性工具包。这将允许你让较旧的应用程序表现得好像它以比用户通常拥有的更高的权限运行,但它非常复杂且(如果我的同事说得没错)设置起来非常麻烦。你实际上是在配置一个在应用程序和操作系统之间运行的填充程序,它必须知道程序将要执行的所有操作。只有当你有很多时间并且有迫切的需求并且无法使用 NTFS 和注册表权限来完成同样的事情时,你才应该考虑此选项。
答案2
使用 sysinternals ProcMon.exe 查找其工作所需的注册表层次结构和文件系统层次结构。然后设置相关注册表和 NTFS 权限,为受限用户提供最小权限。
当找到此应用所需的最低权限集时,请确保您的“程序员”伙伴缩小其在代码本身中的占用空间。这样,新版本将以受限用户身份运行,而不会暴露您的轨迹。
答案3
如果“受限用户”可以执行需要管理权限的操作,则该帐户不受限制。你自相矛盾了。没有人可以鱼与熊掌兼得。