プログラムへの昇格を拒否する方法は?


12

Windowsには「昇格要求を自動的に拒否する」リストがありますか?

ユーザーが"標準ユーザー"の場合、グループポリシー設定を[ 昇格要求自動的に拒否する]に変更することにより、Windowsに昇格要求を自動的に拒否させることができますConsentPromptBehaviorUser

  • Prompt for credentials on the secure desktop.デフォルト)操作に特権の昇格が必要な場合、ユーザーはセキュアデスクトップで別のユーザー名とパスワードを入力するよう求められます。ユーザーが有効な資格情報を入力すると、該当する特権で操作が続行されます
  • Prompt for credentials操作に特権の昇格が必要な場合、ユーザーは管理ユーザー名とパスワードの入力を求められます。ユーザーが有効な資格情報を入力すると、該当する特権で操作が続行されます
  • Automatically deny elevation requests操作に特権の昇格が必要な場合、構成可能なアクセス拒否エラーメッセージが表示されます。標準ユーザーとしてデスクトップを実行している企業は、この設定を選択してヘルプデスクへの問い合わせを減らすことができます。

これは、プログラムの昇格を促す場合に役立ちますが、ヘルプデスクの担当者が3つの建物を実行する必要があります(肩越し資格情報を入力するため)。一度そこに着くと、ユーザーがそのプログラムを実行してはならないことを発見します。

我々はしたいアプリケーションが標準ユーザー(おそらく取得として実行するために、アクセスが拒否されたことが正解だから、エラー)。

しかし、その設定は昇格するすべてのプログラムに適用されます。することは可能ですか

  • プログラムをマークする、または
  • リストに追加する

昇格要求が自動的に拒否され、標準ユーザーとして実行されますか?

問題は、プログラムが誤って実行された場合に発生します。

  • マークされたrequestedExecutionLevelrequireAdministratorその埋め込みまたは外部のマニフェストで
  • 「このプログラムを実行するには管理者がいる」互換性オプションがチェックされている
  • ヒューリスティックによってセットアッププログラムとして検出されている(たとえば、名前が付けられている、installまたはsetupEnableInstallerDetection

注: アプリケーションにマニフェストがないと仮定して、を示すマニフェストを追加することをお勧めしrequestedExecutionLevel: asInvokerます。このソリューションは、アプリケーションのファイルとレジストリの仮想化も無効にします。

こちらもご覧ください

回答:


4

考えられる解決策は、2つのポリシーをまとめて使用することです。

  1. 既に説明したConsentPromptBehaviorUserグループポリシー設定を[ 昇格要求自動的に拒否する]に構成します。質問で述べたように、これは実行されるすべてのプログラムに影響します。

  2. 次に、ユーザーアカウント制御を有効にします。署名および検証されたポリシー設定の実行可能ファイルのみを昇格します。(Microsoftから)この設定は、特権の昇格を要求する対話型アプリケーションに対して公開キー基盤(PKI)署名チェックを実施します。エンタープライズ管理者は、ローカルコンピューターの信頼された発行元の証明書ストアに証明書を追加することにより、実行を許可するアプリケーションを制御できます。

  3. 組織のキーで信頼できるプログラムに署名し、組織内のすべてのコンピューター上の信頼できる発行元の証明書ストアに発行します。より詳しい情報。


ほぼ間違いなく答えがないため、受け入れられました。そして、これらの回避策は得ることができる最高のものです。
イアン・ボイド
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.