Vista и запись в HKLM и Program Files.

← →
DVM © (2006-12-05 13:22) [0]

Насколько я понимаю в этой ОС продвигается принцип принцип наименьшего уровня привилегий. И все программы, что запускает администратор выполняются с ограниченным набором привелегий. Нельзя писать в HKLM, нельзя писать в Program Files и т.д.
В то же время Проводник Windows без проблем создает файлы и папки в Program Files. Он выполняется от имени администратора видимо.
Нельзя ли программе автомтически при старте выполняться от имени администратора, если администратор ее запускает?

← →
Игорь Шевченко © (2006-12-05 13:34) [1]

а там гайка какая-то по слухам есть, которая это поведение снимает.

← →
DVM © (2006-12-05 13:36) [2]

> а там гайка какая-то по слухам есть, которая это поведение
> снимает.

Эту "гайку" программно подкрутить можно программой, которая запущена администратором, но до подкручивания оной гайки.

← →
DVM © (2006-12-05 13:38) [3]

По статистике до 90% программ нуждаются в доступе в HKLM или Program Files. MS сначала расслабила всех, а теперь гайки начала закручивать.

← →
Anatoly Podgoretsky © (2006-12-05 13:46) [4]

> DVM (05.12.2006 13:38:03) [3]

> По статистике до 90% программ нуждаются в доступе в HKLM или Program Files.

Только добавь 90% моих программ.

← →
DVM © (2006-12-05 13:53) [5]

> Только добавь 90% моих программ.

Не я это придумал.
http://www.winsecurity.ru/articles/Windows-Vista-and-Principle-of-Least-Privilege.html
Моих тоже некоторый процент. И не по моей вине в частности. Использую библиотеку IJL 1.5 в приложениях (ну самая быстрая она) - она проверяет ключ в HKLM. Я его туда записать не могу просто так.
Да есть куча других примеров.

> Anatoly Podgoretsky © (05.12.06 13:46) [4]

Вы свои программы под Vista запускали?

← →
Игорь Шевченко © (2006-12-05 14:04) [6]

Хорошо в юниксе...

← →
Slider007 © (2006-12-05 14:05) [7]

Гайка заключается в следующем (я на самом деле ещё не до конца осознал, но вроде что-то получается):

1.Вначале надо добавить себя в группу administrators компьютера (и на всякий случай удалить себя из группы users, т.к. с этим глюки тоже появлялись некоторые, вроде).
2.Надо сделать себя или группу administrators Qwner"ом всех дисков на винчестере (ну или нужных папок, я сделал себе всё, чтоб не мучаться). И Owner"ом всех веток реестра. Естественно при этом надо ставить галку чтоб он так же менял Owner"а поддиректорий и файлов. (В реестре - Подветки и ключи).
3.Дать себе или группе administrators (см. пункт 2) права на запись или Full Control на диски и ветки реестра.
4.Если что-то всётаки не работает, из меню файла/ярлыка выбирать Run As Administrator.

Не очень уверен в необходимости 3 и 4 пункта после выполнения первых двух пунктов, т.к. сейчас у меня всё работает белее-менее нормально, с правами проблем нет, но выполнял я все перечисленные действия в беспорядке методом тыка.

Ещё - после установки новой программы, возможно потребуется конкретно на неё заново давать права, чтоб можно было её настраивать, но опять же после выполнения пунктов 1 и 2 это может не понадобиться.

← →
Gero © (2006-12-05 14:05) [8]

> [5] DVM © (05.12.06 13:53)
> Вы свои программы под Vista запускали?

Я свои запускал, практически все работают хорошо.

← →
Anatoly Podgoretsky © (2006-12-05 14:06) [9]

> DVM (05.12.2006 13:53:05) [5]

> Вы свои программы под Vista запускали?

Я знаю что ни в HKLM ни в Program Files писать нельзя и я и не пишу.

Притом не только под Виста, но и под Вин9х

← →
Gero © (2006-12-05 14:07) [10]

> [7] Slider007 © (05.12.06 14:05)
> 1.Вначале надо добавить себя в группу administrators компьютера
> (и на всякий случай удалить себя из группы users, т.к. с
> этим глюки тоже появлялись некоторые, вроде).
> 2.Надо сделать себя или группу administrators Qwner"ом всех
> дисков на винчестере (ну или нужных папок, я сделал себе
> всё, чтоб не мучаться). И Owner"ом всех веток реестра. Естественно
> при этом надо ставить галку чтоб он так же менял Owner"а
> поддиректорий и файлов. (В реестре - Подветки и ключи).
> 3.Дать себе или группе administrators (см. пункт 2) права
> на запись или Full Control на диски и ветки реестра.
> 4.Если что-то всётаки не работает, из меню файла/ярлыка
> выбирать Run As Administrator.

Мда, как бы не старался Microsoft, мы все равно сделаем наоборот.

← →
DVM © (2006-12-05 14:11) [11]

> Slider007 © (05.12.06 14:05) [7]

Как сделать вручную я догадался сразу же. Но не в этом дело. Не будет же пользователь шаманить с настройками сам.

> Gero © (05.12.06 14:05) [8]

> Я свои запускал, практически все работают хорошо.

Рад за тебя. Работать то и у меня работают, но есть мелкие проблемы, которые вот хочу устранить.

> Anatoly Podgoretsky © (05.12.06 14:06) [9]

> Я знаю что ни в HKLM ни в Program Files писать нельзя и
> я и не пишу.

Не зарекайтесь. Если Ваша программа пишет что-либо в свой собственный каталог и вашу программу юзер проинсталлирует в Program Files то она работать перестанет.
Я уж не знаю, насколько грамотные люди писали Delphi 7, но сама среда разработки из-за этого отказа в доступе в Program Files не может нормально работать в Vista без некоторого шаманства.

← →
Anatoly Podgoretsky © (2006-12-05 14:16) [12]

> Игорь Шевченко (05.12.2006 14:04:06) [6]

Program Files нет?

← →
Anatoly Podgoretsky © (2006-12-05 14:17) [13]

> Gero (05.12.2006 14:05:08) [8]

Я тоже про старые не говорю.

← →
Anatoly Podgoretsky © (2006-12-05 14:19) [14]

> DVM (05.12.2006 14:11:11) [11]

Еще раз повторяю, моя программа не пишет в Program Files раз, мои программы инсталируются в Program Files два.

← →
Slider007 © (2006-12-05 14:24) [15]

DVM © (05.12.06 14:11) [11]
Как сделать вручную я догадался сразу же. Но не в этом дело. Не будет же пользователь шаманить с настройками сам.

Да этот вопрос меня тоже интересует, потому что не представляю, как человек, знакомый с компьютером на уровне пользователя будет устанавливать программы, большинство из которых ставится в Program Files и что-то пишет в реестр ?

← →
Eraser © (2006-12-05 14:37) [16]

> [0] DVM © (05.12.06 13:22)

да свинью они подкинули, будет очень не хорошо, если это нельзя будет обойти.

← →
Eraser © (2006-12-05 14:38) [17]

> [14] Anatoly Podgoretsky © (05.12.06 14:19)

и каким образом она будет инсталлированная в Program Files, если якобы "администратору" запрещено туда писать? только через msi что ли..

← →
Slider007 © (2006-12-05 14:51) [18]

Eraser © (05.12.06 14:38) [17]
и каким образом она будет инсталлированная в Program Files, если якобы "администратору" запрещено туда писать?

А вот инсталируется как раз на ура, только потом хрен настроишь, если настройки в папке программы лежат, и файлики руками не потрешь :)

← →
DVM © (2006-12-05 14:54) [19]

> Eraser © (05.12.06 14:38) [17]

Странно как то это все выглядит. Инсталляция туда проходит. Но потом, программа запущенная из Program Files туда писать уже не может.
При деинсталляции программы деинсталлятор удаляет файлы с легкостью.
Тестировал на InnoSetup.

← →
Slider007 © (2006-12-05 14:54) [20]

И ещё некоторые программы ваще не хотят запускаться если ты не самый что ни на есть администратистый администратор. The Bat! например, долго с ним бился, потом обнаружил в контекстном меню строчку "Run As Administrator" ...

← →
DVM © (2006-12-05 14:56) [21]

> Anatoly Podgoretsky © (05.12.06 14:19) [14]

Куда вы будете сохранять настройки, если их потребуется хранить не в реестре?

← →
Игорь Шевченко © (2006-12-05 14:56) [22]

Anatoly Podgoretsky © (05.12.06 14:16) [12]

Я не знаю, говорили, что гайка в локальной политике

← →
Anatoly Podgoretsky © (2006-12-05 15:14) [23]

> Eraser (05.12.2006 14:38:17) [17]

> и каким образом она будет инсталлированная в Program Files, если якобы "администратору" запрещено туда писать? только через msi что ли..

С помощью специальной учетной записи, что то с названием штатный/доверенный Инсталятор

← →
Anatoly Podgoretsky © (2006-12-05 15:14) [24]

> Slider007 (05.12.2006 14:54:20) [20]

The Bat! фтопку

← →
Anatoly Podgoretsky © (2006-12-05 15:15) [25]

> DVM (05.12.2006 14:56:21) [21]

Есть специальные папки для данных целей.

Учитесь программировать под платформу НТ

← →
Anatoly Podgoretsky © (2006-12-05 15:16) [26]

> Игорь Шевченко (05.12.2006 14:56:22) [22]

Я не слышал про гайку, но это не наш метод. Жить надо по правилам монастыря.

← →
Gero © (2006-12-05 15:17) [27]

> [21] DVM © (05.12.06 14:56)

В %APPDATA%, ессно.

← →
DVM © (2006-12-05 15:29) [28]

> The Bat! фтопку

Туда же отправьте большинство программ. С чем останетесь?

> Есть специальные папки для данных целей.
>
> Учитесь программировать под платформу НТ

Я и учусь. И не только под NT. Про папки я, разумеется, знаю, мне этот способ, честно говоря, нравится не очень. Люблю все свое носить с собой. Не дело это, когда программа мусорит везде своими файлами, кроме своего каталога.

> Жить надо по правилам монастыря.

Вам видно еще не приходилось сталкиваться с Вистой. Это не монастырь - это зона. Причем строгого режима.

> [22] Игорь Шевченко © (05.12.06 14:56)

подозреваю, что это гайка - restricted token. А вот как её снять - хз.

> [25] Anatoly Podgoretsky © (05.12.06 15:15)

однако ж есть, приложения сервисы, им тоже надо как то работать. да и еще ряд утилит, которым без админских прав никак.

> [28] DVM © (05.12.06 15:29)
> Это не монастырь - это зона. Причем строгого режима.

Так это и хорошо, не нужно беспокоиться о том, что какое-то суперизделие Васи Пупкина чего-то натворит.

> Не дело это, когда программа мусорит везде своими файлами,
> кроме своего каталога.

Везде не нужно, есть специально предназначенные места.

> Я и учусь. И не только под NT. Про папки я, разумеется,
> знаю, мне этот способ, честно говоря, нравится не очень.
> Люблю все свое носить с собой. Не дело это, когда программа
> мусорит везде своими файлами, кроме своего каталога.

Гы... В линуксе в этом плане еще хуже... Без штудирования makefile все потрошки не соберешь от программы...

> Жить надо по правилам монастыря.

И почему программы от MS в VISTA пишут таки в Program Files. Им можно?

> Eraser (05.12.2006 15:30:29) [29]

> да и еще ряд утилит, которым без админских прав никак.

Зачем утилите писать в Program Files?
Вот хоть убей не пойму.

> [34] Anatoly Podgoretsky © (05.12.06 15:33)

Кстати, большинство игр пишет в свою папку (сэйвы, конфиги...) и ставится по дефолту в program Files...

Anatoly Podgoretsky © (05.12.06 15:16) [26]

> Я не слышал про гайку, но это не наш метод. Жить надо по
> правилам монастыря.

Монастырь становится все более и более строгим. Сделано, конечно, во благо, чтобы там народ вирусы всякие не запускал, якобы. Уж сколько боролись с ними, с этими вирусами, и strsafe придумали, и dep придумали, а все мало, надо еще пользователя ограничить. Тогда уж просто - разрешить запускать только разработанные в MS программы, а все остальные запрещать. С другой стороны, я за время сидения под Win2k не обнаружил вирусов, хотя там куда как более слабая защита.

> [35] Vga © (05.12.06 15:35)

И чего теперь, на них равняться? А если большинсво в корень диска Ц писать будет, нам тоже так делать?

> Anatoly Podgoretsky © (05.12.06 15:33) [34]

Дело даже не Program Files, а в том, что программа, запущенная администратором в Vista, полномочиями администратора не обладает.
Explorer обладает. Без полномочий администратора некоторые вещи просто невозможны.

> [37] Gero © (05.12.06 15:36)

При разработке игр - да. А вообще, это только пример распространенного софта, пишущего рядом с собой, причем свойственно это большинству виденных мной больших игр, редко какие пишут в MyDocs

Vista и запись в HKLM и Program Files. Найти похожие ветки