我知道c:\Program Files受UAC保护,如果我允许用户安装到d:\Program Files,默认情况下,这不是受UAC保护的。是什么让c:\Program Files UAC受到保护,而不是目录安全设置?它只是简单的目录安全性,还是Windows做了一些特殊的事情呢?
我试图建议某人是否有可能使d:\Program Files与c:\Program Files等同。如果我要使用与d:\Program Files相同的目录安全性创建c:\Program Files,这些文件夹是否相同?
答案 0 :(得分:4)
目录安全性决定了用户在添加,删除或更改该文件夹中的文件方面可以做什么或不可以做什么。 UAC只会发挥作用,即使对于Windows中Administrators组中的用户,您现在(默认情况下)也不会将管理令牌附加到您的登录会话。当您尝试执行特权操作时,Windows不允许您开始此过程以尝试获取具有管理员访问权限的用户。由于您的帐户是管理员的成员,因此UAC将显示允许/拒绝对话框,并且只有管理令牌将附加到您的登录会话。由于您是管理员的成员,因此您可以单击“确定”或取消。如果不是,则系统会提示您输入具有管理员权限的帐户的登录凭据。
您可以在此处详细了解UAC以及幕后发生的事情:http://technet.microsoft.com/en-us/library/dd835561(v=ws.10).aspx
答案 1 :(得分:1)
没有
UAC(大部分)并不神奇。
Windows或Program Files等文件夹只有ACL,不授予没有管理权限的用户写入权限。
答案 2 :(得分:1)
受保护文件夹的一个重要方面是分配给它们的强制标签,它确定这些位置的完整性级别(严重性)。 如果您在任何post vista windows版本中安装'D:\ Program Files',将发生以下情况 1 - 您将通过UAC提示被要求征得您的同意。 2 - Windows将“受信任的安装程序”标签分配给D:\ Program Files文件夹,这使其具有非常高的完整性。 仅“受信任的安装程序”完整性级别足以使您的文件夹受到保护,任何低于受信任的安装程序完整性级别(实际上都是所有这些)的进程都必须回答UAC(同意或凭据)提示才能继续。
有关Windows Integrity Mechanism,UAC提示和Windows安全内部的更多信息,请访问http://securityinternals.blogspot.com