Windowsユーザーの観点から、UACがどこでもユーザー特権に対して正確に行うことの説明はありますか?そして、正確に標高とは何ですか。
この記事のようなものを探していますが、それほど絶望的ではありません。
これは、オンラインリソースでは説明できないシナリオです。不可解な点は、UACが管理者とは異なるグループを通じて許可されたアクセス権を妨害しているように見えることです。
アプリケーションとサービスは、共有メモリを使用して相互に通信します。(アプリが作成し、サービスが開きます)。Windows Vista以降、共有メモリオブジェクトはグローバルに作成されます。これは、サービスに個別のセッションが追加されたためです。したがって、そのアプリの各ユーザーには、対応する特権(SeCreateGlobalPrivilege)が必要です。特権を取得する方法は、Administratorsのメンバーシップ(Windowsのデフォルトの動作)またはMyAppUsersのメンバーシップ(具体的に付与)のいずれかです。
アプリはUACに対応していません。
予想どおり、どちらのグループにも属していない場合、グローバルオブジェクトを作成しようとすると、アプリは拒否されたアクセス許可で失敗します。
予想通り、昇格しない限り、プレーンな管理者にも同じ問題があります。
予想どおり、MyAppUsersの標準ユーザーは特権を取得しますが、昇格する必要はありません。アプリは動作します。共有メモリはメモリを共有します。
ユーザーがAdministratorsとMyAppUsersの両方に属している場合、昇格しない限り、ユーザーは特権を取得できません。したがって、実質的に、管理者のメンバーシップはMyAppUsersを介して利用可能な特権を奪います。ここで私は逆説的に昇格した管理者として実行することを余儀なくされています-私は昇格を必要としないはずですよね?
UACの目的は、特定のアカウント、グループ、および明示的に付与されたアクセス許可を優先して、管理者としてすべての実行を停止することだと思いました。そのため、Administratorsのメンバーであることによって得られる権利を妨害するはずですが、Users、MyAppUsers、または他のグループのメンバーであることによって得られる権利を妨害すべきではないと思います。