UAC versus grupos distintos al Administrador

2

¿Hay alguna descripción, desde la perspectiva del usuario de Windows, de lo que UAC hace exactamente a los privilegios del usuario en cualquier lugar? ¿Y qué es la elevación exactamente?

Estoy buscando algo como este artículo pero no tan irremediablemente anticuado.

Aquí hay un escenario que no puedo explicar a través de recursos en línea. Lo sorprendente es que UAC parece estar interfiriendo con los derechos de acceso otorgados a través de un grupo diferente al de los Administradores.

Una aplicación y un servicio utilizan la memoria compartida para comunicarse entre sí. (La aplicación lo crea, el servicio lo abre). Desde Windows Vista, el objeto de memoria compartida se crea como global porque los servicios ahora tienen una sesión separada. Por lo tanto, cada usuario de esa aplicación necesita el privilegio correspondiente (SeCreateGlobalPrivilege). La forma de obtener el privilegio es mediante la membresía en Administradores (comportamiento predeterminado de Windows) o mediante la membresía en MyAppUsers (específicamente otorgado).

La aplicación no tiene conocimiento de UAC.

  • Como era de esperar, si no estoy en ninguno de los dos grupos, la aplicación falla al denegar el permiso al intentar crear el objeto global.

  • Como se esperaba, un administrador simple tiene el mismo problema a menos que sea elevado.

  • Como se esperaba, un usuario estándar que está en MyAppUsers obtiene el privilegio, no es necesario elevarlo. La aplicación funciona La memoria compartida comparte memoria.

  • Completamente inesperado, si un usuario está en Administradores y en MyAppUsers, no obtiene el privilegio a menos que sea elevado; entonces, efectivamente, la membresía en Administradores quita los privilegios disponibles a través de MyAppUsers. Aquí, paradójicamente, me veo obligado a correr como administrador elevado: no debería necesitar elevación, ¿verdad?

Pensé que el propósito de UAC es dejar de ejecutar todo como administrador a favor de cuentas específicas, grupos y permisos explícitamente otorgados. Por lo tanto, esperaría que interfiera con los derechos obtenidos al ser miembro de Administradores, pero no con los derechos obtenidos al ser miembro de Usuarios, MyAppUsers o cualquier otro grupo.

windows  permissions  windows-server-2012  uac 
Jirka Hanika
fuente
Los derechos más restrictivos siempre se aplican. Es por eso que necesita la elevación correcta, incluso si el usuario es miembro de Administradores. Además, los miembros del grupo Administrador ya no son "administradores completos" y aún necesitan una elevación para algunas operaciones. Último punto con respecto a su enlace, por lo que sé, podría estar fechado pero aún describe cómo funciona actualmente. En un mundo perfecto, la aplicación que describa debe reescribirse para cumplir con los requisitos de UAC.
nex84
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.