我们有一个运行我们的构建脚本的Windows 2008R2服务器。
目前,我们无法修复我们的脚本,以便它们可以在没有提升的情况下运行。请不要费心。它是目前,冒着损坏机器或打开安全漏洞的风险比修复脚本所使用的所有第三方应用程序更可行。
我发现了 2 个我认为可能会使用的本地安全策略选项:
User Account Control: Admin Approval Mode for the Built-in Administrator account
和
User Account Control: Run all administrators in Admin Approval Mode
第二个基本上完全关闭了 UAC,因此所有管理员帐户将始终运行以完全提升权限运行的任何程序。(如果我理解正确的话。)
不过第一个引起了我的兴趣:显然内置管理员帐户有能力(默认)始终运行任何完全提升权限的功能。
是否可以以某种方式为域用户帐户启用此设置,以便我们可以以该用户的身份运行我们的脚本,完全绕过脚本的 UAC,但保留与服务器的所有人机交互的 UAC?
答案1
听起来最好的处理方法是为工作站或特定人群创建一个 OU,即一个安全组,并创建一个链接到 OU 或安全组的组策略。其中唯一的策略更改将是 UAC 选项... 我应该说,将其链接到 OU,然后按安全组进行过滤...