ローカル管理者権限のないユーザー アカウントから特定の Windows アプリケーションを更新できるようにする

アプリケーション互換性ツールキットを使用すると、アプリケーションをホワイトリストに登録して、実行時に管理者権限を必要としないようにすることができます...場合によっては。プロセスは非常に簡単ですが、アプリケーションの処理方法によっては、常に機能するとは限りません。プロセスの大まかな手順は次のとおりです。

1. ホワイトリストに追加するソフトウェアをコンピューターにインストールします。
2. 適切なアプリケーション互換性ツールキット (お客様の場合は Windows 8.1 ACT) を同じコンピューターにダウンロードしてインストールします。
3. 適切な互換性ツールキットを起動します。32 ビット アプリケーションをホワイト リストに登録する必要がある場合は x86 ツールキット、64 ビットの場合は x64 ツールキットを起動します。
4. データベースを作成し、そこに新しい「アプリケーション修正」を追加します。
5. 「アプリケーション修正」のプロンプトに従ってアプリケーションを選択し、適切な詳細を入力します。重要なのは、「互換モード」を「runAsInvoker」に設定することです。これにより、通常はアプリケーションが効果的にホワイトリスト化されます。
6. 「アプリケーション修正」を作成する最後のステップでは、ルールを「一致」するために使用するアプリケーションに関する一連の情報が表示されます。定期的に更新されるプログラムでこれを機能させ続けるには、バージョン番号を参照するフィールドをすべて削除する必要があります (結局のところ、バージョンは更新後に変更される/変更されるはずです)。
7. 完了したら、データベースを「SDB」ファイルとして保存します。
8. 次のコマンドを使用して、各コンピューターに「SDB」ファイルをインストールします。sdbinst {Local path to sdb file}

9. グループ ポリシーを使用してローカル マシンにフォルダーを作成し、そこに SDB ファイルとスクリプトをコピーして、コンピューターの起動時にスクリプトを実行することをお勧めします。その場合、スクリプトでは、'n' フラグを使用して既存の SDB ファイルをアンインストールし、'q' フラグを使用してサイレント インストールする必要があります。これを行うためのコマンドは次のようになります。

   1. sdbinst -n "database-name"
   2. sdbinst -q {Local path to SDB file}

そうは言っても、アプリケーションがファイルをダウンロードし、それを解凍し、解凍されたファイルに含まれる別のアプリケーションを起動しようとすると、このプロセスは機能しません。(結局のところ、コンピュータに関する限り、それは別のアプリケーションです)。この問題を回避するには、更新ファイルを取得し、それをローカル コンピュータ上の特定のフォルダに展開し (アプリケーションは起動前にローカル コンピュータ上の一時フォルダにコピーされるため、ネットワーク フォルダは機能しません)、適切な更新アプリケーションを指すようにホワイト リストを更新します。

これも一部のアプリケーションでは機能しません。アプリケーションの設定が適切か不適切かによって、必要なユーザーに、それらのファイルを実行するコンピューターのローカル管理者アクセス権を与える以外に選択肢がない場合があります。私は、使用せざるを得ない (IT 管理の観点から) ひどい製造ソフトウェアでこの問題を抱えています。

管理者権限を必要とする更新を定期的にプッシュする UPS World Ship などのアプリケーションでは、このプロセスを使用してうまくいきました。このプロセスは、一時フォルダーの場所から実行しようとする追加の更新ファイルのラッパーにすぎない個別の更新ファイルをパッケージ化する Sage 50 Accounting などのソフトウェアでは機能しませんでした...

つまり、これは管理者以外のユーザーに対してアプリケーションをホワイトリストに登録するための可能な修正ではありますが、その効果はアプリケーションによって異なります。これ以外に、更新のプッシュも処理できるアプリケーション管理ソフトウェアを探すことになりますが、これは中小企業にとっては高価すぎる (または明らかに過剰) かもしれません。

参照：互換性ツールキットを使用して UAC プロンプトを削除する