Wie kann ich einem Programm die Erhöhung verweigern?

1340
Ian Boyd

Verfügt Windows über eine Liste "Höhenanforderung automatisch verweigern" ?

Wenn ein Benutzer ein "Standardbenutzer" ist, ist es möglich, Windows automatisch alle Höhenanforderungen abzulehnen, indem Sie die ConsentPromptBehaviorUserGruppenrichtlinieneinstellung auf Automatisch Anforderungen für Höhenangaben ändern ändern :

  • Prompt for credentials on the secure desktop.( Standard ) Wenn für einen Vorgang eine Erhöhung der Berechtigungen erforderlich ist, wird der Benutzer auf dem sicheren Desktop aufgefordert, einen anderen Benutzernamen und ein anderes Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit den entsprechenden Berechtigungen fortgesetzt
  • Prompt for credentialsWenn für einen Vorgang eine Erhöhung der Berechtigungen erforderlich ist, wird der Benutzer aufgefordert, einen Administratorbenutzernamen und ein Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit den entsprechenden Berechtigungen fortgesetzt
  • Automatically deny elevation requestsWenn für einen Vorgang eine Erhöhung der Berechtigungen erforderlich ist, wird eine konfigurierbare Fehlermeldung angezeigt, dass der Zugriff verweigert wurde. Ein Unternehmen, das Desktops als Standardbenutzer ausführt, kann diese Einstellung wählen, um die Anzahl der Helpdesk-Anrufe zu reduzieren

Dies ist in einer Situation hilfreich, in der ein Programm möglicherweise zu einer Erhöhung auffordert. Dies würde jedoch bedeuten, dass der Mann vom Helpdesk drei Gebäude überfahren muss (um seine über die Schulter gehenden Anmeldeinformationen einzugeben ). Erst wenn sie dort ankommen, stellen sie fest, dass der Benutzer das Programm nicht ausführen sollte.

Wir möchten, dass die Anwendung als Standardbenutzer ausgeführt wird (möglicherweise wird der Zugriff verweigert ), da dies die richtige Antwort ist.

Diese Einstellung gilt jedoch für alle Programme, die angehoben werden. Ist es möglich, zu

  • ein Programm markieren oder
  • füge es einer Liste hinzu

so dass Höhenanfragen automatisch abgelehnt werden und als Standardbenutzer ausgeführt werden?

Das Problem tritt auf, wenn ein Programm fehlerhaft ausgeführt wurde:

  • gekennzeichnet als requestedExecutionLeveldie requireAdministratorin seinem eingebetteten oder externen manifest
  • Die Kompatibilitätsoption "Dieses Programm hat einen Administrator ausführen" wurde aktiviert
  • wird durch die Heuristiken als Setup-Programm erkannt (zB genannt installoder setup)EnableInstallerDetection

Hinweis: Wenn die Anwendung kein Manifest hat, könnte man vorschlagen, ein Manifest hinzuzufügen requestedExecutionLevel: asInvoker. Diese Lösung würde auch die Datei- und Registrierungsvirtualisierung für die Anwendung deaktivieren.

Siehe auch

12

1 Antwort auf die Frage

4
Jeremy W

Eine mögliche Lösung besteht darin, zwei Richtlinien gemeinsam zu verwenden:

  1. Konfigurieren Sie die bereits erwähnte Gruppenrichtlinieneinstellung ConsentPromptBehaviorUser so, dass Elevationsanforderungen automatisch abgelehnt werden . Wie in der Frage angegeben, betrifft dies alle ausgeführten Programme.

  2. Next AKTIVIEREN Sie die Benutzerkontensteuerung: Erhöhen Sie nur ausführbare Dateien, die signiert und validiert sind . (Von Microsoft) Diese Einstellung erzwingt die Signaturprüfung der Public Key-Infrastruktur (PKI) für alle interaktiven Anwendungen, die eine Erhöhung der Berechtigungen anfordern. Unternehmensadministratoren können steuern, welche Anwendungen ausgeführt werden dürfen, indem sie dem Zertifikatspeicher von Trusted Publishers auf lokalen Computern Zertifikate hinzufügen.

  3. Signieren Sie alle vertrauenswürdigen Programme mit dem Schlüssel Ihrer Organisation, und veröffentlichen Sie sie im Zertifikatspeicher von Trusted Publishers auf allen Computern in Ihrer Organisation. Mehr Info.

Akzeptiert, weil es fast sicher keine Antwort gibt; und diese Problemumgehungen wären die besten, die man bekommen kann. Ian Boyd vor 12 Jahren 0

Verwandte Probleme