每当出现 Windows UAC 弹出窗口以授予程序管理员权限时,只有一个是/否答案。
有没有办法限制程序以管理员身份运行时可以执行的操作。大多数程序不需要所有特权,而只是一点点,这是标准用户无法做到的。
在 Linux 中有多种方法,我现在能想到:
根权限:将根权限划分为更小的功能
fakeroot:当程序检查root但并不真正需要它时
SELinux和类似的工具:必须明确授予一切
另一种提问方式:我能否在授予管理员权限的同时限制程序可能造成的损害程度。
示例:授予程序查看一个特定程序地址空间的权利,但不是全部。
我设法使用 REGEDIT 更改了我的 Windows Server 2016 上的端口或远程桌面。但是当我忘记在防火墙中打开该端口时,问题就开始了,因此我无法再访问远程桌面。
该服务器仍在运行一个可以运行 PHP 代码的网站和一个 java minecraft 服务器,我可以通过 FTP 访问这些。
问题是使用 php 运行诸如 exec 之类的东西应该运行命令行,并没有提升到管理员权限,当然 UAC 不是一个选项,因为我无法单击任何东西。
所以我的问题是,有没有什么方法可以在没有管理员权限的情况下恢复 RDP 端口,或者有什么方法可以远程提升以便我可以使用 CMD 或 PowerShell 打开端口?
那里的许多答案都没有奏效。
编辑: 当前访问:
编辑2:
RDP 连接确实使用 FPipe 进行连接,但给出“发生内部错误”。
问题解决了!
在 java 中使用 FPipe 让我可以访问 RDP!我现在可以再次访问它。感谢大家的帮助!
不像听起来那么愚蠢;)
我有一个没有来源的第三方应用程序。官方支持 XP 及更高版本 - 但仅在关闭 UAC 时更高。这是我不想要的。
现在,我认识程序员,如果工作量不大,他们愿意做出改变,我可以告诉他们需要做什么。
我知道启动多个可执行文件的应用程序在没有提升权限的情况下启动它时不会获得网络连接 - 但似乎没有打开的端口在 loer 范围内(根据 netstat -b
是否有任何指南可以尝试找出应用程序需要提升权限的原因?该应用程序对业务至关重要 - 这目前颠覆了安全性,因为用户必须是本地管理员。如果有人有想法 - 一旦我找到原因,我确信我可以让供应商实施更改。
当我在 Windows Server 2008 R2 的资源管理器中将共享文件夹映射到驱动器时,新驱动器号(比如 Z:)在 cmd.exe(以管理员身份启动)中不起作用。
我究竟做错了什么?
我相信这只发生在 UAC 处于活动状态的系统上。
我的系统是带有 IIS 7.5 的 Windows Server 2008 R2。我需要运行一个允许执行一些管理任务的站点。我创建了一个 AD 用户帐户并将其添加到所有必需的组中。该站点的应用程序池以设置为此 AD 帐户的自定义身份运行。这可行,但是某些任务因“访问被拒绝”而失败。我发现它是由 UAC 引起的(禁用 UAC 后一切正常)。
所以我的问题是 - 是否可以在不全局禁用 UAC 的情况下以提升模式运行应用程序池?可能只是为这个帐户禁用 UAC。
你好,
我正在玩 Powershell(相对 NewBie),我正在寻找从另一个脚本中调用具有提升权限的 Powershell 脚本的最简单方法。
我知道 start-process 的 runas 动词,它允许我用不同的帐户启动一个新脚本。然而,我的问题是,在 Vista(UAC 活动)下,每个管理员帐户都有两个访问令牌,一个是普通特权,一个是提升的。
如果我使用 runas 方法,第二个脚本将在正确的帐户下启动,但使用非提升的访问令牌。有没有简单的方法来控制它?
非常感谢你的帮助!
乌尔里希
MACHINE我在 Windows Server 2008 安装 (" ")的数据驱动器上托管了一个示例目录。只有SYSTEM、Domain Admins和Administrators(local) 具有应用于此示例目录的完全控制权限。没有应用其他权限(我倾向于对权限有点紧张,从最小设置开始并扩展更容易)。
当我尝试在资源管理器中打开目录时,我收到消息“您当前无权访问此文件夹。单击继续以访问此文件夹。” 我绝对是域管理员。是的,我查过了。如果我继续,则会应用权限,专门将我的帐户添加到该目录。
我删除了特定于我的帐户的权限,然后将我的帐户添加到本地管理员组。我收到同样的错误。
当我为MACHINE\Users组添加权限时,我可能会进入目录。
当我禁用 UAC 时,这种奇怪的行为就会消失。
就好像我在域管理员和本地管理员组中的成员身份在启用 UAC 时被忽略了。
有人可以向我解释这种令人困惑的行为吗?我意识到我可以关闭 UAC 或将MACHINE\Users组添加到我的权限中,但我想了解问题,而不是挥手就走。
鉴于对服务器操作系统具有登录访问权限的帐户通常是系统管理员(或者通常具有提升的权限),是否有充分的理由打开用户访问控制?如果不是,为什么?
最近有人告诉我,如果您的 UAC 级别低于最大值(始终通知),那么恶意程序可以通过编程方式降低您的 UAC 设置,从而使 UAC 无用。
现在,我记得这是 Windows 7 测试版中的一个问题,但在 RC 中已修复:
有了这些反馈和更多信息,我们将对发布候选版进行两项更改,我们都会看到。首先,UAC 控制面板将运行在一个高完整性进程中,这需要提升。在本次讨论之前,这已经在工作中,这样做会阻止围绕 SendKeys 等的所有机制工作。其次,改变UAC的等级也会提示确认。(资源)
那么,我们中的哪一个已经过时了?是我没有发现可用的新 rootkit,还是其他人没有注意 RC 中修复的问题?
有没有办法在没有 UAC 提示的情况下降低 UAC 级别?
众所周知,在win7 UAC下登录系统会收到2个token:std user token和admin token。
如果我禁用 UAC,我应该得到什么?只有管理员令牌?还是两者都不考虑 UAC 状态?