我想在我们的域中设置选定的用户,使其能够在本地 NTFS 驱动器和网络共享上创建符号链接,而无需以管理员身份运行,作为应用程序的一部分,将直接调用 CreateSymbolicLink() API。我们用户的默认配置是他们计算机的管理员,因此我认为我正在与 UAC 作斗争,以使权限按我想要的方式工作。我发现MSDN 上的这个链接 它描述了 SeCreateSymbolicLinkPrivilege、UAC 和域之间的交互,但实际上没有解决方案。以下是我提出的三个选项:
- 创建新组,赋予该组 SeCreateSymbolicLinkPrivilege,并将用户分配到该组
- 授予每个用户(现在是 2 个,以后更多)特权
- 将权限授予默认用户组,该组向所有用户开放
- 更改配置,使用户默认不是管理员(可能会起作用,但不太可能)
根据我的测试,只有 3 对我有用,这是最不理想的,但我只有一个本地服务器可以测试,而不是域。我需要向管理员推荐如何设置它,并且还需要一些我们可以轻松向应用程序的其他用户解释的东西,这些用户在他们自己的域中或不在域中。另一个选项似乎是创建一个使用系统帐户运行的服务,该服务为应用程序创建链接,但我不想走这条路。