Я пытаюсь настроить службу Windows со следующими требованиями:
- Работает как учетная запись домена — эта учетная запись имеет доступ к другим общим ресурсам, которые будут затронуты процессом.
- Имеет полные административные права на машине, прошлые UAC - в частности, необходимо иметь возможность стать владельцем папок.
Проблема в том, что процесс должен стать владельцем папок в некоторых точках, что делается путем вызова takeown /A /F <file>
. Это работает в командной строке, но только когда это явно Run as Administrator
- локальный администратор на машине не дает полных прав администратора, и учетная запись все еще должна пройти через приглашение UAC, поэтому при запуске в качестве службы мы просто получаем ERROR: The current logged on user does not have administrative privileges.
. Кажется, что стандартный способ обойти UAC для служебной учетной записи — использовать учетную запись Local System
, но это не вариант, потому что тогда мы не сможем получить доступ к другим серверам.
Есть ли способ настроить службу и сказать «Запуск от имени этой учетной записи» в контексте полного администратора на машине? В качестве еще одного потенциального решения, есть ли способ исключить учетную запись домена из UAC на машине? Любое другое решение может работать, если оно работает как служба, может устанавливать владельца папки и использовать учетную запись домена. В идеале это делается без открытия больших дыр в безопасности, таких как полное отключение UAC на машине.
In the context of UAC, a "Local Administrator" does not have the full rights of an "administrator" (as seen by the OS)
, которая, кажется, совпадает с поведением, которое я вижу - пользователь в группе локальных администраторов все еще должен пройти через UAC, в то время как полный администратор 2) Относится к # 1 - простое нахождение в локальном администраторе по-прежнему требует, чтобы учетная запись проходила через UAC, что не похоже на то, что это можно обойти программно. 3) Хорошо, спасибо, похоже, это единственное реальное решение для нашего проблема в том, чтобы полностью отключить UAC :/ - person Josh G   schedule 20.04.2021Administrators
, работает с повышенными правами (как я и ожидал). - person Bill_Stewart   schedule 20.04.2021