Як відмовити підвищенню в програмі?

Чи має Windows список "автоматично відхиляти запит на висоту" ?

Якщо користувач є "стандартним користувачем" , Windows може автоматично відхиляти будь-які запити на висоту , змінивши налаштування ConsentPromptBehaviorUserгрупової політики на Автоматично відхилити запити на висоту :

• Prompt for credentials on the secure desktop.( За замовчуванням ) Коли операція вимагає підвищення права, користувачеві пропонується на захищеному робочому столі ввести інше ім’я користувача та пароль. Якщо користувач вводить дійсні облікові дані, операція продовжується з відповідним привілеєм
• Prompt for credentialsКоли операція вимагає підвищення права, користувачеві пропонується ввести ім'я та пароль адміністратора. Якщо користувач вводить дійсні облікові дані, операція продовжується з відповідним привілеєм
• Automatically deny elevation requestsКоли операція вимагає підвищення привілею, відображається налаштований доступ про відмову в доступі. Підприємство, яке працює як робочий стіл як звичайний користувач, може вибрати це налаштування, щоб зменшити виклики довідкової служби

Це корисно в ситуації, коли програма може запропонувати підвищити рівень, але це вимагає, щоб хлопець із служби технічної допомоги запустив три будівлі (щоб ввести свої дані через плече ). Лише потрапивши туди, вони виявляють, що користувач не повинен запускати цю програму.

Ми хочемо, щоб програма працювала як звичайний користувач (можливо, в отриманні помилок відмовлено у доступі ), оскільки це правильна відповідь.

Але ця настройка стосується всіх програм, які піднімають. Чи можна

• позначте програму, або
• додати його до списку

щоб автоматично було відмовлено у запитах на висоту та працює як стандартний користувач?

Проблема виникає, коли програма помилково:

• відзначений як requestedExecutionLevelз requireAdministratorв його вбудованому або зовнішньому маніфесті
• перевірила можливість сумісності "Запустити цю програму з адміністратором"
• виявляється як програма налаштування (наприклад, названа installабо setup) через EnableInstallerDetectionевристику

Примітка. Якщо припустити, що програма не мала маніфесту, можна запропонувати додати маніфест із зазначенням requestedExecutionLevel: asInvoker. Це рішення також відключить віртуалізацію файлів та реєстрів для програми.

Дивись також

• Запобігати підвищенню (UAC) для програми, яка не потребує її (рішення не знайдено)
• Як сказати Windows 7, що програмі не потрібно запускати права адміністратора? (відповідь у цій ситуації - додати маніфест )
• Як визначити, чому застосування спонукає до висоти

Можливим рішенням є використання двох правил узгоджено:

1. Налаштуйте вже згаданий параметр політики ConsentPromptBehaviorUser для автоматичного відхилення запитів на висоту . Як зазначено в запитанні, це вплине на всі програми, які запускаються.

2. Далі ВКЛЮЧИТИ Контроль облікових записів користувачів: Піднімайте лише виконавчі файли з підписаними та затвердженими налаштуваннями політики. (Від Microsoft) Цей параметр застосовує перевірку підписів інфраструктури відкритих ключів (PKI) для будь-яких інтерактивних програм, які вимагають підвищення привілеїв. Адміністратори підприємств можуть контролювати, які програми можна запускати, додаючи сертифікати до магазину сертифікатів Trusted Publishers на локальних комп'ютерах.

3. Підпишіть будь-які довірені програми за допомогою ключа вашої організації та опублікуйте їх у магазині сертифікатів Trusted Publishers на всіх комп’ютерах вашої організації. Більше інформації.