Bagaimana cara menolak elevasi ke suatu program?

12

Apakah Windows memiliki daftar "secara otomatis menolak permintaan elevasi" ?

Jika pengguna adalah "pengguna standar" , ada kemungkinan Windows secara otomatis menolak permintaan ketinggian dengan mengubah ConsentPromptBehaviorUserpengaturan kebijakan grup ke Secara otomatis menolak permintaan ketinggian :

  • Prompt for credentials on the secure desktop.( Default ) Saat operasi membutuhkan peningkatan hak istimewa, pengguna diminta pada desktop yang aman untuk memasukkan nama pengguna dan kata sandi yang berbeda. Jika pengguna memasukkan kredensial yang valid, operasi dilanjutkan dengan hak istimewa yang berlaku
  • Prompt for credentialsKetika suatu operasi membutuhkan peningkatan hak istimewa, pengguna diminta untuk memasukkan nama pengguna dan kata sandi administratif. Jika pengguna memasukkan kredensial yang valid, operasi dilanjutkan dengan hak istimewa yang berlaku
  • Automatically deny elevation requestsKetika suatu operasi membutuhkan peningkatan hak istimewa, pesan kesalahan ditolak akses yang dapat dikonfigurasi ditampilkan. Perusahaan yang menjalankan desktop sebagai pengguna standar dapat memilih pengaturan ini untuk mengurangi panggilan help desk

Ini berguna dalam situasi di mana suatu program mungkin mendorong untuk naik, tetapi itu akan membutuhkan orang dari helpdesk untuk menjalankan tiga bangunan (untuk memasukkan kredensial mereka di atas bahu ). Hanya sekali mereka sampai di sana, mereka menemukan bahwa pengguna tidak boleh menjalankan program itu.

Kami ingin aplikasi dijalankan sebagai pengguna standar (mungkin mendapatkan kesalahan akses ditolak ), karena itulah jawaban yang benar.

Tetapi pengaturan itu berlaku untuk semua program yang meningkat. Apakah mungkin

  • tandai program, atau
  • tambahkan ke daftar

sehingga permintaan elevasi secara otomatis ditolak, dan berjalan sebagai pengguna standar?

Masalah terjadi ketika suatu program salah:

  • ditandai sebagai requestedExecutionLeveldari requireAdministratordalam manifest tertanam atau eksternal
  • telah memeriksa opsi kompatibilitas "Jalankan program ini memiliki administrator"
  • terdeteksi sebagai program pengaturan (misalnya, dinamai installatau setup) melalui EnableInstallerDetectionheuristik

Catatan: Dengan asumsi aplikasi tidak memiliki manifes, orang mungkin menyarankan menambahkan manifes yang menunjukkan requestedExecutionLevel: asInvoker. Solusi ini juga akan menonaktifkan virtualisasi file dan registri untuk aplikasi.

Lihat juga

Ian Boyd
sumber

Jawaban:

4

Solusi yang memungkinkan adalah menggunakan dua kebijakan secara bersamaan:

  1. Konfigurasikan pengaturan kebijakan grup ConsentPromptBehaviorUser yang telah disebutkan untuk secara otomatis menolak permintaan elevasi . Seperti yang dinyatakan dalam pertanyaan, ini akan mempengaruhi semua program yang berjalan.

  2. Berikutnya MENGAKTIFKAN Kontrol Akun Pengguna: Hanya meninggikan executable yang ditandatangani dan divalidasi pengaturan kebijakan. (Dari Microsoft) Pengaturan ini memberlakukan pemeriksaan tanda tangan infrastruktur kunci publik (PKI) untuk semua aplikasi interaktif yang meminta peningkatan hak istimewa. Administrator perusahaan dapat mengontrol aplikasi mana yang diizinkan untuk dijalankan dengan menambahkan sertifikat ke toko sertifikat Penerbit Tepercaya di komputer lokal.

  3. Tanda tangani program tepercaya dengan kunci organisasi Anda dan publikasikan ke toko sertifikat Penerbit Tepercaya di semua komputer di organisasi Anda. Info lebih lanjut.

Jeremy W
sumber
Diterima karena hampir pasti tidak ada jawaban; dan solusi ini akan menjadi yang terbaik yang bisa didapat.
Ian Boyd