windows 7-64bit - win32 api 牺牲（降级）程序的管理权限

Question

我有一个创建临时文件的程序。如果此程序以具有提升权限的管理员身份运行，则即使用户是管理员，在没有“提升”权限的情况下也无法删除生成的文件。这迫使用户始终以“以管理员身份运行”运行应用程序

。该程序实际上不需要任何管理权限或提升的权限。是否有一种编程方式来确保应用程序始终以正常权限运行？

Answer 1

清单可以指示 Windows 以 Invoker 身份启动应用程序，但如果用户右键单击并选择以管理员身份运行，则应用程序将被提升。我很想通过用户教育来处理这个问题，但是你可以做一些程序化的事情 - 由你来决定是否值得。您可以检查您是否正在运行提升（基本上，当且仅当应用程序提升时，IsInRole 才会说用户是管理员），如果不是，则启动另一个未提升的进程（我确信存在问题这里显示了这一点，但这里有一些我碰巧写的博客文章，链接到执行此操作的方法 native 和 托管）创建实际文件。

Answer 2

不，您不能强制程序在没有提升的情况下运行，尤其是在代码中，因为提升发生在任何代码运行之前。如果用户希望应用程序运行 Elevated，那么它将运行 Elevated。但是，您可以做的是让您的应用根据需要创建其文件，并简单地使用 SetFileSecurity() 或 SetNamedSecurityInfo() 来确保所有用户不受限制的访问。有关详细信息，请参阅 http://support.microsoft.com/kb/102102。