Liste aller durch UAC beschränkten Funktionen?
 

Hallo mal wieder.

Nachdem ich mich nun auch mit der UAC anfreunden muss und schon die ersten Probleme damit -mehr oder weniger- gelöst habe, nun eine Frage die ich mit der SuFu nicht eindeutig lösen konnte:

Gibt es eine Liste aller Funktionen / Prozeduren (u.a. vielleicht auch Komponenten etc.?), die mit Standard-Benutzerrechten nicht erfolgreich durchgeführt werden können?

Wenn nein sollten wir vielleicht mal sammeln und Eine anlegen.

Ich stelle mir etwas in der Richtung vor:

Re: Liste aller durch UAC beschränkten Funktionen?
 

Die Liste ist einfach beschrieben, aber schwer aufgezählt:

Alle Funktionen, die eine geschützte Ressource (globale Objekte wie: Datei, Regkey, Prozess, Thread, Mutexes, Events, usw.) benutzen, können einen Zugriff verweigert Fehler liefern.
Das hat nicht direkt mit UAC zu tun, sondern damit, dass die Zugriffsrechte einer Ressource so eingestellt sind, dass der Benutzer, der darauf zugreifen will (ob schreibend oder lesend) abgewiesen wird.

Die UAC ist einfach nur dazu da, dem Administrator seine Rechte zu nehmen, so dass er nur noch ein normaler Benutzer ist. Nur wenn der Benutzer explizit seine Rechte als Admin beansprucht, bekommt man als Admin Zugriff.
Beachte dabei:

• Es gibt Privilegien und Rechte. Privilegien werden global an den Benutzer vergeben (z.B. System herunterfahren). Rechte werden pro Ressource vergeben (Benutzer A soll Objekt C nur lesend zugreifen dürfen)
• Der Benutzer, der sich einloggt gibt eine Kopie seines Ausweis (ein Token, wo drinsteht, welche Rechte und Privilegien der Benutzer hat und in welchen Gruppen er Mitglied ist) an den Explorer weiter, der wiederum eine Kopie des Ausweises an gestartet Programme weitergibt. Das geht rekursiv weiter.
• Man kann neue Programme mit den gleichen oder weniger Privilegien ausstatten, wie der Prozess, der das neue Programm startet. Es ist aber nicht möglich, Privilegien hinzuzufügen. Dies ist nur den SYSTEM-Prozessen möglich (mit Umwegen).
• Rechte werden mit dem Benutzernamen verglichen. Es wird geprüft, ob Benutzer X (Ausweisinhaber) in der Rechteliste der Ressource (Liste von Benutzernamen) vorhanden ist und welche Rechte ihm gewährt werden (Schreiben, Lesen, Löschen usw). Ist er nicht in der Liste (und auch keine seiner Gruppen) wird der Zugriff verweigert.
• An mehr Rechte von Ressourcen kann man gelangen, wenn man das Recht hat, die Rechte der Ressource zu ändern. Das ist möglich, wenn man der Besitzer ist oder das Privileg "Besitzer werden" besitzt.
• Ab Vista kann man Windows sagen, dass es den Prozess als Admin ausführen soll (statisch über Manifest oder dynamisch über ShellExecute).
• Ab Vista kann man die UAC fragen, ob man bestimmte Funktionen als Admin ausführen darf. Dazu muss man aber bereits bestimmte Installationen im System als Admin vorgenommen haben. Da man den Prozess nicht mehr Privilegien geben kann, wird von Windows ein neuer Prozess gestartet, und die Funktion darin ausgeführt. Das funktioniert mit einem COM Server (Out-Of-Process).

Re: Liste aller durch UAC beschränkten Funktionen?
 

Das mit dem Rechte-System ist im Großen und Ganzen klar, trotzdem nochmal Danke für die Info.

Ich möchte nur unter dem Stichwort "Qualitäts-Sicherung" bei meinem -teilweise schon ein wenig älterem- Quellcode durchsehen, ob es potentielle Probleme geben wird, wenn das Programm so 1:1 unter Vista/7 läuft.

Immer wenn ich in meinem Code ".OpenKey(" weiß ich, dass ich hier etwas ändern muss; sei es nur, den Benutzer zu benachrichten, dass er nicht genügend Rechte hat.

Die Frage ist halt, ob jemand, wenn auch nur für sich, sowas wie eine "Top 10" der am meisten benutzen Befehle hat, auf die man -speziell bei vorhandenem Code- ein Auge haben muss?

Re: Liste aller durch UAC beschränkten Funktionen?
 

Du hast drei Möglichkeiten.

1. Teste das Programm auf diesen Betriebssystemen
2. Analysiere das Programm selbst
3. Lasse es von anderen analysieren, die etwas mehr Erfahrung haben.

Re: Liste aller durch UAC beschränkten Funktionen?
 

Die Probleme hast du auch unter NT/W2K/XP. Lass einfach dein Programm unter einem Konto laufen das nur "Gast" oder "Benutzer" ist. Erst die Benutzergruppe "Hauptbenutzer" hat Standardmäßig lokale Adminrechte.

Re: Liste aller durch UAC beschränkten Funktionen?
 

Trotzdem ist es ein Unterschied auf XP und Vista zu testen. Vista/7 verhält sich letztendlich doch immer etwas anders.

Re: Liste aller durch UAC beschränkten Funktionen?
 

Sicherlich muß mann alle OS-Versionen testen. Aber der grundsätzliche Test ob ein Programm auch mit eingeschränkten Benutzerrechten läuft kann auch unter W2k/XP durchgeführt werden.

Re: Liste aller durch UAC beschränkten Funktionen?
 

Es wird dann eher auf Win7 laufen als auf XP, weil Win7 die virtuellen Ordner stark erweitert hat. Man kann da sogar auf C:\ speichern.