Windows下以管理员权限安全调用命令

Question

我需要准时调用需要用户帐户启动的软件的管理员权限的命令（net share、netsh...）。

在 Unix 变体下，我会在用户模式软件旁边安装一个小的、谨慎编写的脚本，带有 suid 位，它将调用所需的命令。

Microsoft Windows 下的等效最佳实践是什么？ 我对 Vista 友好但与 XP 兼容的解决方案特别感兴趣。

Answer 1

正如 BobbyShaftoe 所说，在 Windows 中解决此问题的规范方法是通过服务，因为服务默认在 LocalSystem 帐户下执行。 任何其他方法都需要以管理员用户身份登录，这需要凭据。

对于 Vista，您需要的额外信息是客户端应用程序需要通过某种形式的可以跨越会话边界的 IPC 与服务进行通信，因为在 Vista 上控制台和服务位于不同的会话中。 在这种情况下使用的正常 IPC 方法是命名管道。

同样的解决方案在 XP 中也能正常工作。

Answer 2

一种方法可能是让服务以管理权限运行。 然后从您的应用程序告诉服务调用这些命令。 我假设您不希望用户需要知道管理凭据。

Answer 3

您可以使用 WinAPI 函数 LogonUser 和 < a href="http://msdn.microsoft.com/en-us/library/ms682429(VS.85).aspx" rel="nofollow noreferrer">CreateProcessAsUser 以编程方式启动具有不同访问权限的新进程权利。

对于您的场景，我将使用所需的 net 命令编写一个批处理脚本，并根据需要创建一个新的 cmd.exe 进程，以获取脚本名称作为参数。

此解决方案要求您以某种方式将 LogonUser 中使用的凭据存储在应用程序中，因此可能存在安全风险。