Augmenter par programme les privilèges d'utilisateur
https://stackoverflow.com/questions/249597
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je maintiens une installation depuis un moment, mais je ne suis pas vraiment un expert. maintenant on m'a demandé de trouver une solution à cela:
Notre logiciel est toujours vendu avec un ordinateur car il doit être exécuté dans un environnement très contrôlé. Le programme d'installation a besoin de privilèges administratifs pour être exécuté. Jusqu'à présent, nous avions deux utilisateurs différents, l'un avec des droits d'administration et l'autre sans. Notre service client se connecte en tant qu’administrateur, installe le logiciel et redémarre la machine pour que l’utilisateur puisse y accéder en tant qu’utilisateur normal.
Nous souhaitons maintenant que l'utilisateur puisse installer le logiciel lui-même, mais nous ne souhaitons pas qu'il y ait accès en tant qu'administrateur, car ils peuvent modifier des éléments pour lesquels il ne devrait pas être modifié.
Alors, y a-t-il un moyen de lever par programme les privilèges de l’utilisateur pendant l’installation et de les réduire ensuite? Le programme d’installation utilise InstallShield, mais nous utilisons vbscript pour vérifier certains prérequis.
La solution
Découvrez CPAU . Il vous permet de créer une commande chiffrée qui exécutera l’installation en tant qu’administrateur.
MODIFIER : Il s'agit d'une liste plus complète de comme des outils.
Autres conseils
Si vous recherchez une boîte à outils pour faire ce genre de choses, eh bien, la technologie MSI de Microsoft a ceci: Un accès administrateur est requis pour installer le fichier MSI initial, des correctifs supplémentaires (les MSP, je pense) sont signés numériquement par le MSI d'origine et sont donc considérés comme sûrs - les utilisateurs peuvent les installer sans exiger d'élévation de l'administrateur.
Vous pouvez faire la même chose: lors de l’installation administrative, installez un service. Le service peut créer un canal nommé - auquel vous attribuez explicitement des listes de contrôle d'accès à l'utilisateur - ou même simplement un socket ou surveiller un dossier de dépôt permettant au code de niveau utilisateur de communiquer avec le code de service (exécuté avec SYSTEM ou un accès configuré). Le service peut ensuite utiliser ses autorisations au niveau du compte SERVICE ou configurées pour emprunter l'identité d'un administrateur ou effectuer d'autres tâches pour le compte de l'utilisateur sans JAMAIS donner à l'utilisateur un type quelconque d'autorisations élevées, même de manière temporaire.
