允许创建子进程的组策略设置

允许创建子进程的组策略设置

我有一个 SharePoint 2013 解决方案,它调用 SelectPDF DLL 将 html 转换为 PDF。它在我们的开发环境中运行良好,但在任何更高级的环境中都无法运行。我收到的错误是:

“转换失败错误 1260”

我读了这里这是由组策略设置引起的,这很合理,因为我们在除 DEV 之外的所有环境中都应用了组策略,包括 AppLocker 设置。当我禁用组策略时,SelectPDF 可以正常工作,但当我启用它时,PDF 生成过程会出错。

我读到过 SelectPDF 需要有权限才能创建子进程,但我不知道该怎么做,而且我也没找到答案。有人能建议哪个组策略设置可以授予运行 SelectPDF 转换的帐户此权限吗?

答案1

如果问题是由 AppLocker 引起的,您应该能够在日志中看到错误(在事件查看器下的“应用程序和服务日志\Microsoft\Windows”下,双击 AppLocker。)

如果问题是由 AppLocker 导致的,则需要将被阻止的可执行文件添加为例外,无论哪条规则设置为拒绝。

答案2

检查组策略中的以下设置:计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 用户权限分配 > 替换进程级令牌

此安全设置确定哪些用户帐户可以调用 CreateProcessAsUser() 应用程序编程接口 (API),以便一个服务可以启动另一个服务。使用此用户权限的进程的一个示例是任务计划程序。有关任务计划程序的信息,请参阅任务计划程序概述。

默认:网络服务、本地服务。

我建议的一种方法是找到一种方法来将 selectPDF 配置为本地服务运行。

相关内容