问题标签 [administrator]

我知道我们不应该再使用注册表来存储应用程序数据，但是在更新旧应用程序（并希望做最少的更改）时，非管理员允许使用哪些注册表配置单元？

我可以在没有管理员权限 的情况下访问所有HKEY_CURRENT_USER（当前访问的应用程序）吗？HKEY_LOCAL_MACHINE

使用 Visual Studio 创建设置/MSI 时，是否可以为不需要管理员权限安装的简单应用程序进行设置？如果在 Windows XP 下不可行，在 Vista 下是否可行？

例如，一个简单的图像处理应用程序，允许您将照片粘贴到背景之上。我相信安装到 Program Files 文件夹需要管理员权限？我们可以安装在 \AppData 文件夹中吗？

目的是创建一个应用程序，该应用程序将为不是本地计算机上管理员组成员的用户安装，并且不会在 Vista 上显示 UAC 提示。

我相信这种方法的一个限制是，如果它安装在当前用户的应用数据文件夹下，其他用户将无法运行它。

更新：

您可以在普通 setup.exe 类型的安装程序中打包一次安装吗？您可能会问我们为什么要这样做 - 原因是我们有一个安装程序，它会进行 prereq 检查并安装所需的任何内容（例如 .NET），然后我们会下载并执行 MSI。我们也希望显示一个正常的安装程序启动屏幕，即使这是唯一显示的内容。我们不介意该应用程序是否只能由一位用户（为其安装它的用户）查看。

完全信任与以管理员身份运行的含义相同吗？我读过一些文章说“要使其正常工作，该应用程序必须是完全信任的应用程序”。这是否与您必须具有管理员权限才能运行应用程序相同？如果不是，有什么区别？如何判断应用程序是否“完全信任”？

我被告知“不管是否是管理员，.Net 应用程序如果不是从‘受信任’的位置运行，它们就不会做某些事情。” 什么是“可信位置”？如果您从“受信任的位置”运行应用程序，您可以在不成为管理员的情况下执行“需要完全信任”的事情吗？

我一直在 XP 中开发一个 C# windows 窗体应用程序。这一切都很好。但在 Vista 中，它无法将日志或记分牌文件写入硬盘。我发现我需要一个清单文件来允许弹出窗口要求它以管理员身份运行。

这一切都很好，我很高兴。我的问题是我不知道如何删除此权限，以便我可以重复测试并稍微改变情况。

有谁知道我如何删除清单文件给 EXE 的权限，因为我现在没有得到你希望它作为管理员弹出窗口运行的权限。

谢谢

我有一个本地用户，它是管理员本地组的成员。

当我运行此代码时：

我收到：

未处理的异常：System.Runtime.InteropServices.COMException (0x80070005)：访问被拒绝。

在 System.DirectoryServices.DirectoryEntry.Bind(Boolean throwIfFail) 在 System.DirectoryServices.DirectoryEntry.Bind() 在 System.DirectoryServices.DirectoryEntry.get_NativeObject() 在 nanttest.Program.Main(String[] args) 在 c:\Work\ nanttest\nanttest\Program.cs：第 20 行

如果我在以管理员身份登录时运行此代码，它可以正常工作。

此外，如果我以 DomainAdmin 用户身份登录运行此代码，则此代码将失败。我已将 MYDOMAIN\DomainAdmins 和 MYDOMAIN\mydomainuser 添加为本地管理员组的成员。

我应该为这些用户添加哪些其他权限，以便他们可以运行此代码。

我有一个视觉工作室设置和部署项目。我在其中添加了一个 .cmd 脚本。该脚本需要管理员权限才能运行。当用户单击 setup.exe 时，UAC 会提示用户提供管理员权限。所以我假设在 setup.exe 中创建和调用的所有进程都将以管理员身份运行。因此，我进行了设置调用我的控制台应用程序，其中包含以下代码。

所以它应该可以在管理员空间下运行。

我想以管理员身份通过 c# 进程类运行 cmd.exe。我正在运行 windows vista。

我试过没有用！我能做些什么？

我有一个最简单的应用程序形式，其中显示了一个 SysTray 图标并在启动项中添加了该应用程序。应用程序是用 C# 开发的。我希望即使在机器重新启动后也能显示托盘图标。目前，我在使用“以管理员身份运行”运行 exe 时遇到了一个奇怪的行为。当我在管理员权限下使用时，机器重启后图标不会出现（尽管 exe 仍在运行）。我在元数据“requestedExecutionLevel level="asInvoker" uiAccess="false"”中使用以下元数据值：

我不得不使用“invoker”（而不是“administrator”），因为没有它就不会将它添加为启动项。如果我使用双击运行 exe（因为现在它在当前用户域而不是管理员下运行），它工作正常，但是这个 exe 将由安装程序启动，因此在系统域中启动。谁能帮我解决这个问题？

要么为我提供解决方案，以便它可以在以管理员身份运行时显示 Systray 图标，或者如果你可以提供任何方式让我可以在当前用户域而不是管理员下启动这个 Exe 更好？

问候 Sumeet Garg

我正在尝试在 sharepoint 中部署我的第一个自定义 aspx 页面：

• 视窗服务器 2003
• 微软视觉工作室 2008
• VSeWSS 1.3
• 截至 2009 年 5 月 28 日的最新 Sharepoint 补丁

我正在遵循这个详细的方法：

http://geeksconnected.com/jamil/Lists/Posts/Post.aspx?ID=19

不幸的是，它很快就会在底部变得不完整。到目前为止，我遇到了两个问题：

1. 如何授予 VSeWSS 管理员权限，以便“部署”选项在 Visual Studio 中起作用？

2. 它切断<SafeControl>了示例中的一半标签，我不确定在PublicKeyToken=选项后面放什么。当前的所有尝试都完全破坏了共享点。

任何解决方案和解释将不胜感激。提前感谢您的帮助。

我一直致力于让我的应用程序更易于管理员使用。我真正想做的一件事是允许管理员从程序中修改其他用户的设置——同时仍然允许普通用户修改他们自己的设置，因为我的应用程序不一定只用于想要强制用户使用特定设置的管理员。

我想到了两种可能的方法：

1)将用户设置文件路径从现在的位置（CLSID_APPDATA，通常是Documents and Settings\ Username）移动到世界可访问的路径（CLSID_COMMON_APPDATA ，通常是Documents and Settings\All Users）。然后，将每个用户的设置保存到用户的唯一文件（可能具有与用户的文本 SID 相同的名称），因此该文件夹类似于：

C:\Documents and Settings\All Users\My Company\My Program \settings\123-abc-456-def.settings
C:\Documents and Settings\All Users\My Company\My Program\settings\234-bcd-477-xyz.settings
C:\Documents and Settings\All Users\My公司\我的程序\设置\946-hdc-743-ddd.settings

优点：

• 这允许管理员查看和直接修改任何用户的设置，因为所有用户的 COMMON_APPDATA 路径都是相同的。这就是我真正想要的样子——这是最直接的——但有一个主要的缺点：

缺点：

• 权限可能是个问题。要允许普通用户保存他们的设置，您必须允许用户写入程序的 COMMON_APPDATA 设置文件夹。
  
  当然，当保存设置并在磁盘上创建设置文件时，您希望将用户设置文件的写入权限限制为设置所针对的用户和管理员，以便其他受限用户不能修改它们。
  
  但是，可能在用户有机会从程序中编写自己的设置之前，精明的恶意受限用户会在用户不知情的情况下为该特定用户创建设置文件。如果受限用户创建文件，则意味着他们拥有该文件......然后该用户（设置的对象）不能再修改设置，除非管理员更改文件的权限。
  
  这可能是一个不太可能的情况，但它仍然让我担心。

2)不要将设置文件路径移动到全局可访问的路径并直接修改用户的设置文件，而是让我的应用程序在应用程序的 CLSID_COMMON_APPDATA 文件夹中创建并保存一个“覆盖”文件，以允许管理员覆盖用户的设置。

当我的应用程序为该用户（其设置被“覆盖”）加载时，它将检测此文件并加载它而不是位于 CLSID_APPDATA （Documents and Settings\ Username）中的常规设置文件。

优点：

• 权限很容易处理。
  
  默认情况下，对于Documents and Settings\ Username APPDATA 文件夹，只有管理员和用户名可以从其中访问文件。因此，这本身可以保护用户自己的常规个人设置免受其他受限用户的影响。
  
  为了保护“覆盖”设置，我的应用程序可以简单地拒绝除管理员之外的所有人对 COMMON_APPDATA 文件夹（写入覆盖文件的位置）的写访问权限，然后就是这样。这些覆盖设置只能由管理员修改。

缺点：

• 这种方法显然比较迂回。如果用户修改了他自己的常规个人设置，管理员将不会看到这些更改——管理员只能看到他用来覆盖用户常规设置的设置（他可以强制用户使用这些设置）。
  
  在某些方面，这可能很好，但是……它是环形交叉路口的事实让我有些反感。

我很想听听你们对此的看法。哪个是我最好的选择？我个人更倾向于＃2，因为虽然它不那么简单，但它似乎更安全，并且不会让管理员感到困惑。

但是，我也愿意接受建议。您认为有更好的选择吗？

编辑 7/6/09：我应该注意，对于选项 #2，管理员不仅可以使用单个覆盖文件覆盖所有用户的设置，还可以使用特定于该用户的覆盖文件覆盖单个用户的设置（就像使用选项 #1，该文件名可能是设置被覆盖的用户的 SID）。不确定原始帖子中是否完全清楚。

我需要创建一个 .VBS 脚本来重置大量计算机上的 Windows 本地管理员密码。我的问题是，出于安全原因，我们的一些站点已重命名管理员帐户。有没有人有一个脚本可以根据原始管理员帐户的 SID 更改管理员帐户的密码？