Cómo escribir .adm personalizados y .ADMX archivos de plantilla administrativa para proporcionar una directiva de elevación de modo protegido en Internet Explorer 7.0

Seleccione idioma Seleccione idioma
Id. de artículo: 918239 - Ver los productos a los que se aplica este artículo
importante Este artículo contiene información acerca de cómo modificar el registro. Compruebe que ha hecho una copia de seguridad del Registro antes de modificarlo. Compruebe que sabe restaurar el Registro en caso de que se produzca algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad, restaurar y modificar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986Definición del Registro de Microsoft Windows
Expandir todo | Contraer todo

En esta página

Resumen

en Windows Vista, objetos asegurables heredan automáticamente el nivel de integridad de proceso que se crearon. Por tanto, archivos o claves del registro tienen una baja integridad cuando se crean en modo protegido. Esto significa que un proceso de integridad baja puede obtener permiso de escritura a los objetos que crea. Sin embargo, un proceso de integridad bajo no puede tener permiso de escritura a medio o a alta integridad carpetas o archivos en el perfil del usuario.

No de forma predeterminada, cuando se ejecuta Microsoft Internet Explorer 7.0 en modo protegido, las extensiones puede tener acceso a integridad media o alta integridad de objetos. Esto proporciona la mejor protección contra ataques de software malintencionado. Cuando una extensión requiere acceso a objetos de integridad superior, el comportamiento de Internet Explorer 7.0 predeterminado es preguntar al usuario la elevación a través de un cuadro de diálogo. Si el usuario confirma la elevación, se crea un proceso intermediario con un mayor nivel de integridad. Este proceso intermediario obtiene acceso al mayor integridad objeto en nombre en Internet Explorer 7.0.

Puede utilizar el registro para reemplazar este comportamiento predeterminado para que el usuario no se le pida la elevación a través de un cuadro de diálogo. Este artículo describe cómo los administradores utilizar archivos .adm o .ADMX para agregar la directiva "Habilitar la personalización de la directiva de elevación para el modo protegido," para forzar su comportamiento de directiva de elevación deseado para diferentes aplicaciones.

INTRODUCCIÓN

Organización del registro de directiva de elevación


Puede crear un GUID de broker con los siguientes valores y cambiar la directiva de elevación predeterminada:
  • AppName : un valor REG_SZ para el nombre de archivo ejecutable.
  • AppPath : ubicación del archivo ejecutable de instalación de un valor REG_SZ para el usuario seleccionado.
  • CLSID : si la extensión inicia un servidor COM, agregue un valor REG_SZ que contiene el CLSID de la extensión.
  • directiva : valor DWORD que indica el modo protegido cómo debe iniciarse el agente. En la tabla siguiente se describen los valores admitidos y sus significados.
Contraer esta tablaAmpliar esta tabla
valor resultado
3Modo protegido silenciosamente inicia al agente como un proceso de integridad Media.
2Modo protegido pide al usuario permiso iniciar el proceso. Si se concede permiso, el proceso se inicia como un proceso de integridad Media.
1Modo protegido silenciosamente inicia al agente como un proceso de integridad baja.
0Modo protegido impide que el proceso se inicie.

Advertencia Pueden producirse problemas graves si modifica incorrectamente el registro mediante el Editor del registro o utilizando otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar la solución de esos problemas. Modifique el Registro bajo su responsabilidad.

Tendrá que agregue los GUID como sigue:
  • Agregue este GUID bajo la subclave del Registro siguiente:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Internet Explorer \Low Rights\ElevationPolicy
  • Cree una entrada del registro similar en una de las subclaves del Registro siguiente:
    HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\InternetExplorer\Low Rights\ElevationPolicy
    HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Low Rights\ElevationPolicy
crear el archivo .adm personalizado

Para crear el archivo .adm personalizado para incluir esta directiva, siga estos pasos:
  1. Definir una lista de las aplicaciones que desea configurar la directiva de elevación. Decida qué directiva de elevación que desee para cada uno de ellos. Utilice los valores de 0 a 3 de la tabla que se ha descrito anteriormente en este artículo.
  2. Abra un editor de texto, como el Bloc de notas y copie la plantilla siguiente en el archivo de Bloc de notas.

    Nota Los valores representados por <appname1>, <apppath1>, <clsid1> y <policy1> en este código y otros ejemplos de código en este artículo, son marcadores de posición para el nombre de la aplicación, su ruta de acceso, CLSID y directiva que tenga que se va a aplicar.
    CLASS USER
    CATEGORY !!WindowsComponents
    	CATEGORY !!InternetExplorer
    		POLICY !!ConfigureElevationPolicy
    			#if version >= 4
    			SUPPORTED !!SUPPORTED_IE7
    			#endif
    			KEYNAME "Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy"
    			ACTIONLISTON
    				KEYNAME "Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\<GUID1>"
    				VALUENAME AppName       VALUE "<APPNAME1>"	                      
    				VALUENAME AppPath       VALUE "<APPPATH1>"                                                                                     
    				VALUENAME CLSID         VALUE "<CLSID1>"
    				VALUENAME Policy        VALUE NUMERIC "<POLICY1>"
    			END ACTIONLISTON
    		END POLICY
    	END CATEGORY
    END CATEGORY
    
    CLASS MACHINE
    CATEGORY !!WindowsComponents
    	CATEGORY !!InternetExplorer
    		<POLICY ... END POLICY will be exactly same as that under class user>
       	END CATEGORY
    END CATEGORY
    
    
    [strings]
    SUPPORTED_IE7="At least Internet Explorer 7.0"
    WindowsComponents="Windows Components"
    InternetExplorer="Internet Explorer"
    ConfigureElevationPolicy="Enable customizing the elevation policy for Protected Mode"

    crear el .ADMX y .adml archivos

    Para crear los archivos .ADMX y .adml, utilice la siguiente plantilla en lugar de crear archivos de plantilla de .adm personalizados. Para rellenar esta plantilla con valores reales para. archivos ADM, también puede seguir el paso 3. Repita el bloque de código entre <enabledlist> y </enabledlist> para otras aplicaciones.

    crear el archivo ElevationPolicy.admx
    <?xml version="1.0" encoding="utf-8"?>
    <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
      <policyNamespaces>
        <target prefix="ElevationPolicy" namespace="Microsoft.Policies.ElevationPolicy" />
        <using prefix="inetres" namespace="Microsoft.Policies.InternetExplorer" />
      </policyNamespaces>
      <resources minRequiredRevision="1.0" />
      <policies>
          <policy name="ConfigureElevationPolicy_1" class="User" displayName="$(string.ConfigureElevationPolicy)" key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy">
          	  <parentCategory ref="inetres:InternetExplorer" />
          	  <supportedOn ref="inetres:SUPPORTED_IE7Vista"/>
              <enabledList>
                 <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\<GUID1>" valueName="AppName">
                   <value>
                     <string><APPNAME1></string>
                   </value>
                 </item>
                 <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\<GUID1>" valueName="AppPath">
                   <value>
                      <string><APPPATH1></string>
                   </value>	
                 </item>	
                 <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\<GUID1>" valueName="CLSID">
                   <value>
                     <string><CLSID1></string>
                   </value>
                 </item>
                 <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\<GUID1>" valueName="Policy">
                   <value>
                     <decimal value="<POLICY1>" />
                   </value>
                 </item>
               </enabledList>
          </policy>
          <policy name="ConfigureElevationPolicy_2" class="Machine" displayName="$(string.ConfigureElevationPolicy)" key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy">
              <parentCategory ref="inetres:InternetExplorer" />
              <supportedOn ref="inetres:SUPPORTED_IE7Vista"/>
              <enabledList> <same as user policy above> </enabledList> 
          </policy> 
      </policies>
    </policyDefinitions>

    crear el archivo ElevationPolicy.adml

    <?xml version="1.0" encoding="utf-8"?>
    <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
      <displayName>enter display name here</displayName>
      <description>enter description here</description>
      <resources>
        <stringTable>
          <string id="ConfigureElevationPolicy">Enable customizing the elevation policy for Protected Mode</string>
        </stringTable>
      </resources>
    </policyDefinitionResources>

    Nota Debe poner el archivo .ADMX en <%windir%> \policydefinitions y el archivo .adml en <%windir%> \policydefinitions\ <%lang-dir%>. Ejecute gpedit.msc para comprobar los resultados.
  3. Rellenar la plantilla de directiva con los valores adecuados. Para ello, siga estos pasos.
    1. Generar un nuevo GUID y reemplazar <GUID1> en el ejemplo de código con el nuevo GUID.
    2. Para la primera aplicación que ha seleccionado, escribir el nombre de ejecutable en lugar de <APPNAME1> y la ruta del archivo ejecutable en <APPPATH1>. Si la extensión inicia un servidor COM, agregue el CLSID de la extensión en <CLSID>. Escribir el número de póliza 0-3 para la aplicación en <POLICY1>.
    3. Replicar el bloque de código entre <enabledlist> y </enabledlist> para todas las demás aplicaciones que ha seleccionado y, a continuación, repita los pasos 3a y paso 3b para rellenar los bloques.
    4. Copiar la directiva que se creó en el paso 3 en la entrada CLASS MACHINE en el código.
  4. Guarde el archivo como un archivo .adm. Por ejemplo, guárdelo como ElevationPolicy.adm .
  5. Para comprobar los resultados, haga lo siguiente:
    1. Abrir el Editor de objetos de directiva de grupo.
    2. Busque la Configuración del equipo y, a continuación, expanda Plantillas administrativas .
    3. Haga clic con el botón secundario del mouse en Plantillas administrativas y a continuación, haga clic en Agregar o quitar plantillas . En el cuadro de diálogo, haga clic en Agregar para agregar el archivo ElevationPolicy.adm que creó en el paso 4.
      Nota Se deben colocar los archivos de .ADMX o .adml archivos bajo <%windir%> \policydefinitons\. No pueden agregarse más adelante haciendo clic en el Editor de objetos de directiva de grupo.
    4. Busque la Configuración del equipo , expanda Plantillas administrativas , expanda Componentes de Windows y, a continuación, haga clic en Internet Explorer .
    5. En el panel derecho, busque la nueva directiva "Habilitar personalización de la directiva de elevación para el modo protegido" y habilita esta directiva.
    6. Examine el registro para comprobar que la entrada del registro deseada se rellena con la siguiente subclave:
      HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy
      .
    7. Repita el paso 5 c para la configuración de usuario. Examine el registro para comprobar que la entrada del registro deseada se rellena con la siguiente subclave:
      HKEY_CURRENT_USER\Software\policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy
Nota Los pasos 3d, 4 y 5b son sólo para los archivos .adm.

Referencias

Para obtener más información, visite los siguientes sitios Web de Microsoft TechNet:
http://technet2.microsoft.com/WindowsVista/en/library/02633470-396c-4e34-971a-0c5b090dc4fd1033.mspx
http://technet2.microsoft.com/WindowsVista/en/library/90c3c5f5-b756-49b1-bfd6-a5da93305bbc1033.mspx
http://technet2.microsoft.com/WindowsVista/en/library/1494d791-72e1-484b-a67a-22f66fbf9d171033.mspx

Propiedades

Id. de artículo: 918239 - Última revisión: sábado, 27 de octubre de 2007 - Versión: 1.7
La información de este artículo se refiere a:
  • Windows Internet Explorer 7
Palabras clave: 
kbmt kbhowto kbinfo KB918239 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 918239

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com