Aumentare a livello di codice i privilegi dell'utente
https://stackoverflow.com/questions/249597
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Mantengo un'installazione da un po 'ma non sono proprio un esperto. ora mi è stato chiesto di trovare una soluzione per questo:
Il nostro software è sempre venduto insieme a un computer in quanto deve essere eseguito in un ambiente molto controllato. Il programma di installazione necessita dei privilegi di amministratore per essere eseguito. Finora abbiamo avuto due utenti diversi, uno con diritti amministrativi e l'altro senza. Il nostro servizio clienti effettua l'accesso come amministratore, installa il software e riavvia la macchina in modo che l'utente possa accedervi come utente normale.
Ora vogliamo che l'utente sia in grado di installare il software da solo, ma non vogliamo che abbiano accesso come amministratore perché possono modificare cose che non dovrebbero essere modificate.
Quindi, c'è un modo per aumentare a livello di codice i privilegi dell'utente durante l'installazione e successivamente abbassarli? Il programma di installazione viene realizzato utilizzando InstallShield ma utilizziamo vbscript per verificare alcuni prerequisiti.
Altri suggerimenti
Se stai cercando un toolkit per fare questo tipo di cose, beh, la tecnologia MSI di Microsofts ha questo incorporato: è necessario l'accesso come amministratore per installare il file MSI iniziale, patch aggiuntive (MSP penso che) siano firmate digitalmente dal MSI originale e sono quindi considerati sicuri: gli utenti possono installarli senza richiedere elevazione dell'amministratore.
Puoi fare la stessa cosa: come parte dell'installazione amministrativa, installa un servizio. Il servizio può creare una pipe denominata - a cui si forniscono esplicitamente gli ACL dell'utente - o anche solo un socket o monitorare una cartella di rilascio che consente al codice del livello utente di comunicare con il codice del servizio (in esecuzione con SYSTEM o accesso configurato). Il servizio può quindi utilizzare il proprio SERVIZIO o le autorizzazioni configurate a livello di account per impersonare un amministratore o eseguire altre attività per conto dell'utente senza MAI concedere all'utente alcun tipo di autorizzazione elevata, anche temporaneamente.
