Добрый день!
Заканчиваю свою первую шаровару. Прога — утилита для работы с другими приложениями. Может быть полезна разным категориям пользователей.
Для её работы нужны права администратора (если точнее чтобы были привилегии дебагера SE_DEBUG_NAME, так как я открываю другие процессы).

При запуске проверяю права текущего пользователя, если админ — все ок.
Но многие пользователи работают не под админом. Подскажите, пожалуйста, как бы лучше организовать?

В висте вроде понятно, в файле манифеста указываю requireadministrator

вот вопрос с xp, вижу такие варианты

1. Могу вывести сообщение "Запустите приложение под администратором. Это можно сделать так то..."
2. Могу запросить пароль логин. Потом запустить свой процесс уже под нужным пользователем. Но тут опять же — прога для частого запуска. И постоянно запрашивать — это надоест. Могу запоминать логин и пароль, но тогда добавляются лишние хлопоты с шифрованием, хранением. а на первом этапе не хочется с этим возится.
3. При инсталяции, создавать еще одну учетную запись. Привилегий по минимуму, главное чтобы была SE_DEBUG_NAME. А потом уже запускать свой процесс под этим логином (рабочий экаунт). Я правда так еще не делал, но мне кажется это возможно

Может кто сталкивался с похожим вопросом?

Здравствуйте, Ipriy, Вы писали:

I>Но многие пользователи работают не под админом.

Ну не знаю, по моему опыту подавляющее большинство шпарит под админом, по крайней мере домашние юзеры и под XP.

I>1. Могу вывести сообщение "Запустите приложение под администратором. Это можно сделать так то..."

Это не решает "проблему" пользователя.

I>2. Могу запросить пароль логин. Потом запустить свой процесс уже под нужным пользователем. Но тут опять же — прога для частого запуска. И постоянно запрашивать — это надоест. Могу запоминать логин и пароль, но тогда добавляются лишние хлопоты с шифрованием, хранением. а на первом этапе не хочется с этим возится.

Это, думаю, самый грамотный вариант. Хлопот с хранением пароля почти нет, система берёт это всё на себя, а твоя забота знай себе только API нужные дёргай и всё.

I>3. При инсталяции, создавать еще одну учетную запись. Привилегий по минимуму, главное чтобы была SE_DEBUG_NAME. А потом уже запускать свой процесс под этим логином (рабочий экаунт). Я правда так еще не делал, но мне кажется это возможно

Так можно делать, в принципе, но мне видится более правильным вариант #2.

Здравствуйте, Ipriy, Вы писали:

I>3. При инсталяции, создавать еще одну учетную запись. Привилегий по минимуму, главное чтобы была SE_DEBUG_NAME. А потом уже запускать свой процесс под этим логином (рабочий экаунт). Я правда так еще не делал, но мне кажется это возможно

I>Может кто сталкивался с похожим вопросом?

Можно сервис сделать, который запускается с нужным аккаунтом при старте системы и висит ждет запроса. Ну или manual start, программа запускается, запускает сервис. И его просить или работу сделать, или привилегии поднять (что гораздо хуже). Другое дело, что это всё надо очень осторожно делать, иначе дырка в системе.

На счет домашних согласен. Но вот на работе у людей бывает по-разному. Во всяком случае, ситуация когда сис.админ ограничивает права — вполне обычная.

ДП>Ну не знаю, по моему опыту подавляющее большинство шпарит под админом, по крайней мере домашние юзеры и под XP.

Большое спасибо за ссылки, буду изучать

интересный вариант реализации
спасибо!

Здравствуйте, Ipriy, Вы писали:

I>Добрый день!
I>Заканчиваю свою первую шаровару. Прога — утилита для работы с другими приложениями. Может быть полезна разным категориям пользователей.
I>Для её работы нужны права администратора (если точнее чтобы были привилегии дебагера SE_DEBUG_NAME, так как я открываю другие процессы).

I>При запуске проверяю права текущего пользователя, если админ — все ок.
I>Но многие пользователи работают не под админом. Подскажите, пожалуйста, как бы лучше организовать?

I>В висте вроде понятно, в файле манифеста указываю requireadministrator

I>вот вопрос с xp, вижу такие варианты

I>1. Могу вывести сообщение "Запустите приложение под администратором. Это можно сделать так то..."
I>2. Могу запросить пароль логин. Потом запустить свой процесс уже под нужным пользователем. Но тут опять же — прога для частого запуска. И постоянно запрашивать — это надоест. Могу запоминать логин и пароль, но тогда добавляются лишние хлопоты с шифрованием, хранением. а на первом этапе не хочется с этим возится.
I>3. При инсталяции, создавать еще одну учетную запись. Привилегий по минимуму, главное чтобы была SE_DEBUG_NAME. А потом уже запускать свой процесс под этим логином (рабочий экаунт). Я правда так еще не делал, но мне кажется это возможно

I>Может кто сталкивался с похожим вопросом?
http://delphi2010.ru/?p=11
Vista UAC in Delphi: Part 3
Как-то так. Но, довольно хлопотно

спасибо!
там описана более сложная ситуация — часть приложения админская, часть нет. Меня вполне устраивает, чтобы все было админским

M>http://delphi2010.ru/?p=11
M>Vista UAC in Delphi: Part 3
M>Как-то так. Но, довольно хлопотно

Здравствуйте, Ipriy, Вы писали:

I>На счет домашних согласен. Но вот на работе у людей бывает по-разному. Во всяком случае, ситуация когда сис.админ ограничивает права — вполне обычная.

на работе сотрудник должен работать, приносить прибыль предприятию, которое платит зарплату админу. если сотрудник на работе использует "Прога — утилита для работы с другими приложениями." то скорее всего он не приносит прибыли и зарплату админу урезают. зато увеличивают СБшнику — выяснить что это сотруднику потребовалось от "других приложений". и какие такие "другие приложения"? конторский банк-клиент? аутлук коммерческого директора?

на работе (на правильной) для каждого сотрудника есть регламентированый набор ПО (1С, ворд, ексель, аутлук\бат, IE\FF) и нет прав на установку ПО. и список рабочих папок\сетевых шар ограничен как по видимости так и по правам доступа.

всякий шаг в сторону от этого — есть суть провокация и попытка саботировать работу.
впрочем, можно попробовать убедить админа отступить от этого регламента, но вовсе не пивом лично в админа, а служебной запиской, запущенной по маршруту = сотрудник — руководитель отдела — руководитель подразделения — руководитель СБ — директор фирмы — админ.
и даже последний, в этой цепочке, может запретить установку "левого ПО".

если левое ПО грузит терминальный сервер сверх меры.
если левое ПО не лицензионное.
и т.д.
и т.п.

ДП>>Ну не знаю, по моему опыту подавляющее большинство шпарит под админом, по крайней мере домашние юзеры и под XP.

user-level ПО, которое требует прав админа — плохое, негодное ПО.

Все проблемы от жадности и глупости

Если брать общий случай, то я тоже так думаю. Но в каждом правиле есть исключения.

Напр. есть приложение, которое автоматизирует элементы работы или там настраивает интерфейс различных приложений. Админ не заменит такую утилиту. Пример, я привел наобум, для таких, наверное, админские права и не нужны, но все же.

Я понимаю, что права админа это не хорошо. Но есть ряд ограничений которые под правами пользователя не обойти.
И тут выбор — или не делать вообще или делать так.


SK>на работе сотрудник должен работать, приносить прибыль предприятию, которое платит зарплату админу. если сотрудник на работе использует "Прога — утилита для работы с другими приложениями." то скорее всего он не приносит прибыли и зарплату админу урезают. зато увеличивают СБшнику — выяснить что это сотруднику потребовалось от "других приложений". и какие такие "другие приложения"? конторский банк-клиент? аутлук коммерческого директора?

SK>на работе (на правильной) для каждого сотрудника есть регламентированый набор ПО (1С, ворд, ексель, аутлук\бат, IE\FF) и нет прав на установку ПО. и список рабочих папок\сетевых шар ограничен как по видимости так и по правам доступа.

SK>всякий шаг в сторону от этого — есть суть провокация и попытка саботировать работу.
SK>впрочем, можно попробовать убедить админа отступить от этого регламента, но вовсе не пивом лично в админа, а служебной запиской, запущенной по маршруту = сотрудник — руководитель отдела — руководитель подразделения — руководитель СБ — директор фирмы — админ.
SK>и даже последний, в этой цепочке, может запретить установку "левого ПО".

SK>если левое ПО грузит терминальный сервер сверх меры.
SK>если левое ПО не лицензионное.
SK>и т.д.
SK>и т.п.

SK> user-level ПО, которое требует прав админа — плохое, негодное ПО.

Здравствуйте, Ipriy, Вы писали:

I>Для её работы нужны права администратора (если точнее чтобы были привилегии дебагера SE_DEBUG_NAME, так как я открываю другие процессы).

Во-первых, SeDebugPrivilege и права администратора — одно и то же. Во-вторых, зачем это простому пользователю лезть в процессы других пользователей? К своим-то можно подключаться и так.

Здравствуйте, Ipriy, Вы писали:

I>Если брать общий случай, то я тоже так думаю. Но в каждом правиле есть исключения.

I>Напр. есть приложение, которое автоматизирует элементы работы или там настраивает интерфейс различных приложений. Админ не заменит такую утилиту. Пример, я привел наобум, для таких, наверное, админские права и не нужны, но все же.

зачем простому пользователю ПО, которое "настраивает интерфейс различных приложений"? в 1С заменять кнопки на смайлики?

а ПО которое автоматизирует элементы работы у пользователя уже есть, это та самая 1С, и для ее работы админские права не нужны.

разверни подробнее что у тебя за ПО, которому требуются админские права и права доступа к приложениям других пользователей.
троян? вирус? рекламное? шпионское?

I>Я понимаю, что права админа это не хорошо. Но есть ряд ограничений которые под правами пользователя не обойти.
I>И тут выбор — или не делать вообще или делать так.


SK>>на работе сотрудник должен работать, приносить прибыль предприятию, которое платит зарплату админу. если сотрудник на работе использует "Прога — утилита для работы с другими приложениями." то скорее всего он не приносит прибыли

SK>> user-level ПО, которое требует прав админа — плохое, негодное ПО.

Все проблемы от жадности и глупости

не обязательно на смайлики, можно на сердечки
Я пока не готов описывать идею, возможно потом выставлю на порку Но программа никакого отношения к троянам, вирусам, рекламе и шпионскому не имеет.

Можно для примера взять такое — я когда-то видел утилиту которая позволяет быстро переходить в диалоге выбора файлов на заданные папки. Если бы такой утилите надо были права админа.

Видать, целевая аудитория будет широкая минус те кто не готов запускать приложение с правами админа.

SK>зачем простому пользователю ПО, которое "настраивает интерфейс различных приложений"? в 1С заменять кнопки на смайлики?

SK>а ПО которое автоматизирует элементы работы у пользователя уже есть, это та самая 1С, и для ее работы админские права не нужны.

SK>разверни подробнее что у тебя за ПО, которому требуются админские права и права доступа к приложениям других пользователей.
SK>троян? вирус? рекламное? шпионское?

Я и не планировал, что пользователь будет куда-то лазить. Он просто запустит утилиту, а она ему поможет сэкономить немножко времени.

RO>Во-первых, SeDebugPrivilege и права администратора — одно и то же. Во-вторых, зачем это простому пользователю лезть в процессы других пользователей? К своим-то можно подключаться и так.

Здравствуйте, Ipriy, Вы писали:

I>Я и не планировал, что пользователь будет куда-то лазить. Он просто запустит утилиту, а она ему поможет сэкономить немножко времени.

Так что это за программа, которая нуждается в том, чтобы внедряться в процессы других пользователей?

Я пока не готов описывать идею, возможно потом выставлю на порку. Замечу только что программа никакого отношения к троянам, вирусам, рекламе и шпионскому не имеет.

RO>Так что это за программа, которая нуждается в том, чтобы внедряться в процессы других пользователей?