Come negare l'elevazione a un programma?

Windows ha un elenco "Rifiuta automaticamente richiesta di elevazione" ?

Se un utente è un "utente standard" , è possibile che Windows rifiuti automaticamente qualsiasi richiesta di elevazione modificando l' ConsentPromptBehaviorUserimpostazione dei criteri di gruppo in Nega automaticamente richieste di elevazione :

• Prompt for credentials on the secure desktop.( Predefinito ) Quando un'operazione richiede l'elevazione del privilegio, all'utente viene richiesto sul desktop sicuro di inserire un nome utente e una password diversi. Se l'utente immette credenziali valide, l'operazione continua con il privilegio applicabile
• Prompt for credentialsQuando un'operazione richiede l'elevazione del privilegio, all'utente viene richiesto di immettere un nome utente e una password di amministrazione. Se l'utente immette credenziali valide, l'operazione continua con il privilegio applicabile
• Automatically deny elevation requestsQuando un'operazione richiede l'elevazione del privilegio, viene visualizzato un messaggio di errore di accesso negato configurabile. Un'azienda che esegue desktop come utente standard può scegliere questa impostazione per ridurre le chiamate all'help desk

Ciò è utile in una situazione in cui un programma potrebbe richiedere di elevarsi, ma ciò richiederebbe al ragazzo dell'helpdesk di eseguire tre edifici (per inserire le proprie credenziali sopra la spalla ). Solo una volta arrivati ​​lì, scoprono che l'utente non dovrebbe eseguire quel programma.

Vogliamo che l'applicazione venga eseguita come utente standard (possibilmente ottenere errori di accesso negato ), poiché questa è la risposta corretta.

Ma questa impostazione si applica a tutti i programmi che elevano. È possibile

• contrassegnare un programma o
• aggiungilo a un elenco

in modo che le richieste di elevazione vengano automaticamente negate e vengano eseguite come utenti standard?

Il problema si verifica quando un programma è stato erroneamente:

• contrassegnato come requestedExecutionLeveldi requireAdministratornel suo manifesto incorporato o esterno
• è stata selezionata l'opzione di compatibilità "Esegui questo programma ha un amministratore"
• viene rilevato come programma di installazione (ad esempio, viene chiamato installo setup) attraverso l' EnableInstallerDetectioneuristica

Nota: supponendo che l'applicazione non avesse manifest, si potrebbe suggerire di aggiungere un manifest requestedExecutionLevel: asInvoker. Questa soluzione disabiliterebbe anche la virtualizzazione di file e registro per l'applicazione.

Guarda anche

• Impedisci elevazione (UAC) per un'applicazione che non ne ha bisogno (nessuna soluzione trovata)
• Come dire a Windows 7 che un'applicazione non deve essere eseguita con diritti di amministratore? (la risposta a quella situazione è aggiungere un manifest )
• Come determinare perché l'applicazione richiede l'elevazione

Una possibile soluzione è utilizzare due politiche in concerto:

1. Configurare l' impostazione dei criteri di gruppo ConsentPromptBehaviorUser già menzionata su Nega automaticamente le richieste di elevazione . Come indicato nella domanda, ciò influirà su tutti i programmi in esecuzione.

2. Successivo ABILITA il controllo dell'account utente: eleva solo gli eseguibili firmati e convalidati . (Da Microsoft) Questa impostazione applica controlli della firma di infrastruttura a chiave pubblica (PKI) per tutte le applicazioni interattive che richiedono l'elevazione del privilegio. Gli amministratori aziendali possono controllare quali applicazioni possono essere eseguite aggiungendo certificati all'archivio certificati di Trusted Publishers sui computer locali.

3. Firma qualsiasi programma attendibile con la chiave della tua organizzazione e pubblicalo nell'archivio certificati di Trusted Publishers su tutti i computer della tua organizzazione. Ulteriori informazioni.