Autorizzazioni amministrative locali per MMC

4

Ho davvero bisogno delle autorizzazioni di amministratore locale sul mio portatile per accedere a MMC per controllare / verificare cose come la proprietà degli asset per un certo oggetto, struttura di gruppo, ecc.?

Su Internet ha trovato informazioni contraddittorie, quindi mi chiedevo se ci fosse la possibilità di accedere a queste informazioni senza di loro.

    
posta Wh0V1an 13.02.2018 - 12:39
fonte

2 risposte

1

mmc.exe può essere eseguito con autorizzazioni utente limitate; questo gli impedisce solo di fare la maggior parte delle cose che potresti volere che faccia. Ad esempio, con le autorizzazioni non di amministratore, è possibile modificare l'archivio certificati personale, ma si avrà accesso in sola lettura all'archivio certificati del computer (macchina). Alcuni snap-in saranno completamente inutili con autorizzazioni limitate (ad esempio diskmgmt.msc , lo snap-in Gestione disco, richiede la connessione al servizio Disco virtuale e non credo che si possa fare senza privilegi elevati; equivalente a riga di comando diskpart.exe e se non lo elevi, restituirà Access is denied ).

Fondamentalmente, dipende da cosa fa lo snap-in. Se supporta sia le impostazioni specifiche dell'utente che quelle del sistema, c'è una buona possibilità che tu possa usarlo (solo per l'utente corrente) senza privilegi elevati. Se apporta modifiche a qualche archivio dati direttamente (ad esempio, modificando il registro o il file system utilizzando le API pertinenti) o indirettamente (ad esempio, i certificati sono in genere archiviati nel registro, anche se di solito li accedi tramite API crittografiche che chiamano le API di registro richieste dietro le quinte), quindi è possibile eseguire qualsiasi ACL su quell'archivio dati consenta all'utente corrente (ad esempio, l'accesso in sola lettura ai certificati a livello di sistema). D'altra parte, se crea una sorta di comunicazione tra processi, non sarà possibile utilizzare lo snap-in del tutto se il canale IPC richiede più privilegi di quelli che hai. Allo stesso modo, se richiede un privilegio NT ( ad esempio SeImpersonatePrivilege , che ti consente di dire al sistema operativo di fingere di essere un utente diverso), quindi ovviamente non puoi usarlo se non hai questo privilegio.

    
risposta data 15.04.2018 - 01:44
fonte
0

Lo snap-in di MMC fa parte della console di ADMIN, quindi ha intrinsecamente bisogno dei privilegi di amministratore. In caso contrario, si avrebbe un buco di sicurezza in quanto qualcuno con accesso a livello utente potrebbe installare certificati dannosi e non si avrebbe modo di sapere se le connessioni fossero sicure.

    
risposta data 13.02.2018 - 15:12
fonte

Leggi altre domande sui tag