我有很多应用程序没有完全遵循 Windows 应用程序编写指南,并且在受限帐户上表现不佳。还有一些常规应用程序和服务。不幸的是,我必须在 上非常受限的帐户上运行所有这些应用程序和服务Windows 7 - 8.1 Professional。
账户基本上应限制为:
- 使用一组预定义的应用程序 - 其中一些将自用户登录以来运行,其他可能由用户运行。
- 限制对少数目录的访问 - 只允许修改现有文件。禁止创建新文件和删除现有文件。
我正在尝试通过以下方式实现此目标:
- 创建额外的特权用户帐户。
- 以该特权用户身份运行所需的服务。
- 受限用户帐户的用户自动登录已开启。
- 所有应用程序均以受限用户帐户 (
runas) 的特权用户身份启动。
我做得对吗? 有没有更好或更合适的方法来实现它?
如果我的解决方案可以接受的话:
Runas在用户级别保存凭据-如果我保存凭据,我就可以以特权用户身份运行任何应用程序。- 通过策略设置限制应用程序(
User Configuration > Administrative Templates > System > Run only specified Windows applications)在系统级别起作用,并且不依赖于应用程序路径。
看来我需要的只是某种runas保存每个应用程序凭据的方法。有没有办法(最好是操作系统功能)来解决我的问题?
编辑:更正和澄清。