我有一個我支援的應用程序,它需要讀取和寫入註冊表以及在磁碟和 CD-ROM 上創建文件的權限。
我想使用有限用戶運行計算機,這樣在我不知情的情況下就不能安裝任何其他東西或將其寫入註冊表,但每次程式需要訪問註冊表時 Windows 都不會要求輸入密碼。
我可以設定受限用戶,以便程式或資料夾有權執行其想做的任何操作嗎?我完全信任這個程序,因為我認識編寫它的人。
答案1
權限通常分配給使用者帳戶或者團體。因此,實現此目的的標準方法是將權限指派給相關的登錄項目和資料夾(並確保相關的 政策配置不會阻止使用者寫入 CD)。
如果 CD 權限不起作用且所有內容都顯示為已配置,則它們可能會特別黏。如果您使用 UDF CD(也稱為封包寫入 CD),您可能會遇到問題。 IMX 對此的支援有點不穩定,儘管這就是 Win7 下拖放燒錄的工作原理。 Nero BurnRights 曾經是一個可以處理該問題的程序,但這只在 Windows 2000 上才需要,因為預設情況下,Windows XP 及更高版本中的標準用戶有權寫入可移動媒體。這實際上取決於程式如何嘗試寫入 CD。
唯一的替代方法是使用 Microsoft 的工具包,使那些在現代作業系統安全性方面表現不佳的應用程式繼續運作:應用程式相容性工具包。這將允許您使較舊的應用程式表現得好像它以比用戶通常擁有的更高的權限運行,但它是非常複雜且(如果我的同事可信的話)設置起來非常痛苦。您實際上是在配置一個在應用程式和作業系統之間運行的填充程序,並且它必須知道該程式將要執行的所有操作。只有當您有大量時間且有非常深入的需求並且無法使用 NTFS 和登錄權限來完成相同的操作時,才應考慮此選項。
答案2
使用 sysinternals ProcMon.exe 尋找其工作所需的註冊表層次結構和檔案系統層次結構。然後設定相關的註冊表和NTFS權限,為受限使用者提供最小權限。
當找到該應用程式運行的最低權限集時,請確保您的好友「程式設計師」縮小了程式碼本身的足跡。這樣,新版本將以受限用戶身份運行,而不會暴露您的軌道表面。
答案3
如果「受限使用者」可以執行需要管理權限的操作,則該帳戶不受限制。你自相矛盾。沒有人能魚與熊掌兼得。