已解决:将文件full control夹添加C:\Program Files\Application到包含“启动用户”的组中。
当从另一个应用程序以 COM 形式启动时,我可以使用它来dcomcnfg配置应用程序标识。
当The launching user用户是组成员时Administrators,我的应用程序可以创建 COM 对象,但我希望我的用户拥有尽可能低的权限。
secpol我已将我的用户组添加到:
- 身份验证后模拟客户端
- 作为批处理作业登录(非交互式会话所需)
- 作为服务登录(需要,我的应用程序作为服务运行)
- 获取模拟令牌 (...)
但这并没有解决我的问题。secpol需要什么或其他权限?
注意:我不能使用其他Identity选项,它必须是启动用户。
答案1
您需要更改 COM 对象本身的安全设置。默认情况下,管理员组具有完全权限,而用户组具有读取权限。以下是权限的增量。您必须尝试各种权限才能获得所需的最低权限。
Permissions Admins Users
Full Control + -
Query Value + +
Set Value + -
Create Subkey + -
Enum Subkeys + +
Notify + +
Create Link + -
Delete + -
Write DAC + +
Write Owner + +
Read Control + +