ПО мониторинга и управления МАП и КЭС. ПАК "МАЛИНА-2"

РЕКЛАМА НА ФОРУМХАУС

Автостарт от имени вошедшего в систему пользователя запускает.

Проблема в том, что это приведёт к огромной дырке в безопасности. Так делать нельзя.

 

Согласен. Есть как минимум десяток способов решения этой проблемы повышения прав для запуска программ даже без отключения UAC...

 

Off (для этой темы, прошу прощения у уважаемого @Osolemio,):

Некоторые и считают функцию контроля учётных записей (UAC) в Windows 7 весьма полезной и не отключают её. Но иногда всё же требуется запустить приложение с повышенными правами, а некоторые приложения, такие как, например, Sysinternals Process Explorer или Sysinternals Autoruns, и вовсе лучше всегда запускать с повышенными привилегиями.
Конечно, Вы можете воспользоваться одним из простых способов, и постоянно щелкать уведомления UAC:

1) Нажмите правой клавишей мыши по значку нужного приложения и выберите пункт "Запуск от имени администратора"
2) Нажмите Пуск, в строке поиска наберите нужную команду и нажмите Ctrl+Shift+Enter.
3) Щелкните правой клавишей мыши по нужному ярлыку и выберите пункт "Свойства". Или перейдите на вкладку "Совместимость" и установите флажок "Выполнять эту программу от имени администратора"

Есть также и другой способ, через создание высокопривилегированной задачи системного планировщика заданий. Способ немного сложнее предыдущих, но запросы UAC не отображаются.

1) Запускаете планировщик заданий (Пуск -> Все программы -> Стандартные -> Служебные -> Планировщик заданий)
2) Нажимаете "Создать задачу"
3) Указываете Имя для новой задачи и ставите флажок "Выполнять с наивысшими правами"
4) Переходите на вкладку Действия, нажимаете "Создать", в следующем окне нажимаем "Обзор"
5) Указываете путь к нужному приложению и нажимаете "Открыть"
6) Нажимаете "ОК", затем снова "ОК"
7) Создайте ярлык на рабочем столе (Нажмите правую кнопку мыши, выберете "Создать" -> "Ярлык")
8) В поле Расположение объекта введите:
schtasks /run /tn mytask_admin где mytask_admin - имя созданной нами задачи. Если в имеми содержаться робелы, обязательно укажите его в кавычках.
9) Введите имя ярлыка и нажмите Готово

Но есть и более легкий способ, создания ярлыка, при запуске которого не отображаются запросы UAC - это использовать приложение Elevated Shortcut (поиском в Интернете).
Оно автоматизирует процесс создания задачи планировщика для запуска приложения с повышенными привилегиями и создает на рабочем столе необходимый ярлык. Просто перетащите необходимый исполняемый файл на окно программы Elevated Shortcut.

 

Может я что-то не так понимаю... Про архитектуру прогамного продукта я читал, про работу службы в курсе. Но для того, чтобы пользователь видел в трее запущенный агент, этот агент нужно запустить, т. к. это отдельная программа, которая уже взаимодействует со службой. Я говорю о том, что запуск этого агента требует повышенных прав.

 

@P_IV_Pr,
https://social.technet.microsoft.com/Forums/ru-RU/694feff1-8cb1-4bc9-bd18-fb487c0aaad4/-?forum=windows8ru

 

Это всё понятно. Есть ли принципиальная возможность запускать агент без повышенных прав?

 

Агент делает настройки. Настройки хранятся в реестре. Писать в юзерский реестр я не могу, потому что сервис при старте должен читать откуда-то настройки. Если 10-20 юзеров на компе, откуда читать настройки? У меня была задача агента для серверов, где после старта никто не залогинен. Отсюда такая архитектура.

 

Дык - это вопрос скорее к Вам. Всё зависит от настройки политик безопасности в Вашем корпоративном домене...

 

Так. Теперь относительно понятно. Тогда так спрошу. Можно ли агента модифицировать так, чтобы он при запуске под пользователем не требовал бы админских прав, а просто запускался без возможности изменения настроек, которые этих админских прав требуют?

 

Это можно сделать доменной политикой. Запускать определённый скрипт при входе пользователя в домен, которым (скриптом) будет запускаться Агент.

 

Думаю, но сомневаюсь

Все упирается в настройки сервиса, который имеет system привилегии. Если я сделаю юзерский агент, он не сможет ничего из реестра прочитать. А настройки там. Надо думать

 

Тут я не специалист, могу только сказать, что обычно агенты всяких мониторингов, с которыми мне доводилось иметь дело, устроены именно так - процесс, который сам по себе, и агент или интерфейс. В любом случае я благодарен вам за помощь.

 

Скажем так, это очевидно. Но применять такой способ я буду только в случае крайней необходимости. Я скорее вообще откажусь от запуска агентов на пользовательских машинах и буду проводить информирование об отключении электропитания другими способами, если не получится запустить агент без административных прав штатными средствами самой программы.

 

Ага, мне тоже. Но только они нифига на серверах не работают, если никто не залогинен. Ибо сервис запускается с меньшими привилегиями

 

Агент скорее всего и разрабатывался для пользователей с правами Администратор (как это и бывает на домашних компьютерах). Для корпоративного использования - надо давать пользователям соответствующие права, или настраивать политики, или запускать Агент на сервере от администратора...