如何允许管理员在不提升 UAC 的情况下编辑我的应用程序的配置文件？

Question

我的公司生产一个跨平台服务器应用程序，它从用户可编辑的配置文件加载其配置。在 Windows 上，配置文件 ACL 被我们的安装程序锁定，以允许所有用户读取，但仅限管理员和本地系统进行编辑。

不幸的是，在 Windows Server 2008 上，即使本地管理员也不再拥有管理权限（由于 UAC），除非他们运行提升的应用程序。这引起了用户的抱怨，他们无法使用自己喜欢的文本编辑器打开和保存配置文件更改 - 他们可以打开文件（因为任何人都可以读取）但无法保存。

有人建议我们在应用程序的设置中可以做什么（如果有的话），以使管理员在 Windows Server 2008 上更轻松地进行编辑？

相关问题：如果 Windows Server 2008 管理员想要编辑仅限管理员的配置文件，他通常如何做？他是否被迫使用足够智能的文本编辑器，在需要提升时自动提升，就像 Windows 资源管理器响应访问被拒绝错误时所做的那样？他是否从提升的命令提示符窗口启动编辑器？还有别的事吗？

Answer 1

在我看来，无法右键单击记事本并选择“以管理员身份运行”的管理员不应该是管理员，但是……现实生活中确实存在这样的管理员。

UAC 的工作原理是从用户的安全令牌中禁用管理员组 SID，直到您以提升的权限运行程序。不幸的是，当以非提升模式运行时，无法使用管理权限。

不幸的是，一种解决方法需要大量工作，可能是：

• 为您的配置文件创建自定义文件名后缀。
• 创建一个小应用程序，将其注册为该配置文件的处理程序。
• 将小型应用程序标记为需要提升的权限（您可以在创建新应用程序时执行此操作）。

小应用程序应该做的唯一一件事是在注册表中找到 .txt 文件的注册处理程序，然后使用它以提升的权限打开该文件。

Answer 2

对于称职的管理员来说，这并不复杂。打开提升的文本编辑器，打开文件，保存，完成。现在大多数编辑配置文件的人都习惯了这种仪式。 Unix 人们条件反射地这样做（使用 sudo）；它只是在 Windows 上比较困难，因为对于某些用户来说它仍然有点陌生。

实际上，如果是 HKLM 注册表设置，他们也会遇到同样的问题，除非他们必须提升 regedit 或 Powershell 或他们通常用来编辑注册表设置的任何内容。

如果他们无法弄清楚，他们可以选择完全禁用 UAC，或者将其调低一两级，但我怀疑如果他们无法弄清楚如何打开提升的编辑器，这将产生更多问题解决。

在对系统范围的配置文件进行重大更改之前，您应该必须考虑一下。 UAC 提升足以让您认为，如果您不想进行系统范围的更改，它应该让您暂停。

如果它不是服务，您可以使用 %USERPROFILE% 来存储配置设置，但通常，服务在与系统管理员的普通帐户不同的用户凭据下运行。

Dotnet 应用程序可以选择将信息存储到由 Environment.GetFolderPath(Environment.SpecialFolder.CommonApplicationData) 返回的文件夹中；人们可能需要提升权限才能在您的服务之外写入该文件夹，但如果他们不喜欢您的管理 UI 并且确实喜欢他们的文本编辑器，那么这与最初的问题相同：他们只需要学习如何使用 UAC。

Answer 3

对于第二个问题：为了快速解决，我将记事本添加到Windows快捷栏，右键单击，以管理员身份运行，打开文件，进行更改并保存。

Answer 4

我们将所有应用程序设置移至数据库。
请参阅我的博客文章此处。 您可以轻松了解如何创建网页来编辑该网页，并在 Web 应用程序中拥有所有权限。