在以不同用户身份创建流程时,您如何处理UAC?

时间:2010-03-26 13:32:22

标签: uac

我遇到了UAC问题,并以不同的用户身份执行非交互式流程(例如CreateProcessAsUser或CreateProcessWithLogonW等API)。

我的计划旨在执行以下操作:

1)创建一个新的Windows用户帐户(检查,正常工作)

2)以新用户帐户创建非交互式子进程(启用UAC时失败)

我的应用程序包含管理员清单,并在启用UAC时提升正确以完成步骤1.

但是第2步无法正确执行。我怀疑这是因为作为另一个用户执行的子进程没有继承我的主进程(作为交互式用户执行)的提升权限。

我想知道如何解决这个问题。当UAC关闭时,我的程序正常工作。在这种情况下,我如何处理UAC或要求提升权利?

如果它有帮助,子进程需要以另一个用户身份运行才能为新用户帐户设置文件加密。

2 个答案:

答案 0 :(得分:6)

在此博客文章中解释了在使用CreateProcessWithLogon和CreateProcessAsUser时生成的进程没有管理员权限的原因:

http://blogs.msdn.com/cjacks/archive/2010/02/01/why-can-t-i-elevate-my-application-to-run-as-administrator-while-using-createprocesswithlogonw.aspx

长话短说:CreateProcess是windows中的一个低层,它不知道高程。 ShellExecute(Ex)确实如此。因此,您必须使用CreateProcessWithLogon / CreateProcessAsUser创建并启动一个bootstrapper应用程序,而后者(现在充当其他用户)使用ShellExecute(Ex)启动您的最终应用程序,这将要求管理员权限(如果您将“runas”指定为lpVerb或为您的应用提供清单)。因为这是一个非常简单有趣的任务,所以Windows不提供ShellExecuteWithLogon功能。

希望这有帮助。

答案 1 :(得分:2)

在maxed UAC下,Windows 7上遇到了类似的问题。

当UAC打开时,CreateProcessWithLogon会创建一个受限制的令牌,就像使用LOGON32_LOGON_INTERACTIVE的LogonUser一样。此令牌可防止提升。

解决方案是首先使用LOGON32_LOGON_BATCH调用LogonUser,后者返回完全访问令牌。获得后,只需调用CreateProcessWithToken。