mmc.exe
può essere eseguito con autorizzazioni utente limitate; questo gli impedisce solo di fare la maggior parte delle cose che potresti volere che faccia. Ad esempio, con le autorizzazioni non di amministratore, è possibile modificare l'archivio certificati personale, ma si avrà accesso in sola lettura all'archivio certificati del computer (macchina). Alcuni snap-in saranno completamente inutili con autorizzazioni limitate (ad esempio diskmgmt.msc
, lo snap-in Gestione disco, richiede la connessione al servizio Disco virtuale e non credo che si possa fare senza privilegi elevati; equivalente a riga di comando diskpart.exe
e se non lo elevi, restituirà Access is denied
).
Fondamentalmente, dipende da cosa fa lo snap-in. Se supporta sia le impostazioni specifiche dell'utente che quelle del sistema, c'è una buona possibilità che tu possa usarlo (solo per l'utente corrente) senza privilegi elevati. Se apporta modifiche a qualche archivio dati direttamente (ad esempio, modificando il registro o il file system utilizzando le API pertinenti) o indirettamente (ad esempio, i certificati sono in genere archiviati nel registro, anche se di solito li accedi tramite API crittografiche che chiamano le API di registro richieste dietro le quinte), quindi è possibile eseguire qualsiasi ACL su quell'archivio dati consenta all'utente corrente (ad esempio, l'accesso in sola lettura ai certificati a livello di sistema). D'altra parte, se crea una sorta di comunicazione tra processi, non sarà possibile utilizzare lo snap-in del tutto se il canale IPC richiede più privilegi di quelli che hai. Allo stesso modo, se richiede un privilegio NT ( ad esempio SeImpersonatePrivilege
, che ti consente di dire al sistema operativo di fingere di essere un utente diverso), quindi ovviamente non puoi usarlo se non hai questo privilegio.