Come scrivere i file di modello amministrativo a un criterio di elevazione dei privilegi per la modalitÓ protetta in Internet Explorer 7.0 di ADM e ADMX

Traduzione articoli Traduzione articoli
Identificativo articolo: 918239 - Visualizza i prodotti a cui si riferisce l?articolo.
importante Vengono fornite informazioni su come modificare il Registro di sistema. Assicurarsi di backup del Registro di sistema prima di modificarlo. Verificare che come ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
256986Descrizione del Registro di sistema di Microsoft Windows
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

in Windows Vista, gli oggetti a protezione diretta ereditano automaticamente il livello di integritÓ del processo che li ha creati. Pertanto, i file o chiavi del Registro di sistema necessario una bassa integritÓ quando vengono creati in modalitÓ protetta. Ci˛ significa che un processo di integritÓ basso pu˛ ottenere autorizzazione di scrittura agli oggetti che viene creato. Tuttavia, un processo di integritÓ basso non pu˛ ottenere dell'autorizzazione di scrittura per supporto o per integritÓ elevata cartelle o file nel profilo dell'utente.

Per impostazione predefinita, quando Microsoft Internet Explorer 7.0 viene eseguito in modalitÓ protetta, le estensioni non possono accedere integritÓ medio o gli oggetti di integritÓ alto. In questo modo la migliore protezione contro gli attacchi di software dannoso. Quando un'estensione richiede l'accesso agli oggetti di integritÓ pi¨ alti, il comportamento di Internet Explorer 7.0 di impostazione predefinita Ŕ per richiedere all'utente l'elevazione dei privilegi tramite una finestra di dialogo. Se l'utente conferma l'elevazione dei privilegi, verrÓ creato un processo broker con un livello di integritÓ pi¨ alto. Questo processo broker accede al superiore oggetto di integritÓ per conto di Internet Explorer 7.0.

╚ possibile utilizzare il Registro di sistema per ignorare il comportamento predefinito in modo che l'utente non Ŕ richiesto l'elevazione dei privilegi tramite una finestra di dialogo. Questo articolo viene descritto come gli amministratori di utilizzare file con estensione adm o ADMX per aggiungere al criterio "Attiva la personalizzazione i criteri di elevazione dei privilegi per la modalitÓ protetta," per applicare il comportamento di criteri di elevazione desiderato per diverse applicazioni.

INTRODUZIONE

Organizzazione di elevazione dei criteri del Registro di sistema


╚ possibile creare un GUID di Service broker con i seguenti valori e modificare i criteri di elevazione dei privilegi predefiniti:
  • AppName : un valore REG_SZ per il nome file eseguibile.
  • AppPath : percorso del file eseguibile di installazione di un valore REG_SZ per selezionate dall'utente.
  • CLSID : se l'estensione viene avviato un server COM, aggiungere un valore REG_SZ che contiene il CLSID dell'estensione.
  • criterio : valore DWORD che indica la modalitÓ protetta come deve essere avviato Service broker. Nella tabella seguente vengono descritti i valori supportati e relativo significato.
Riduci questa tabellaEspandi questa tabella
valore risultato
3ModalitÓ protetta avvia automaticamente l'intermediario come un processo di integritÓ medio.
2ModalitÓ protetta richiede l'utente l'autorizzazione avviare il processo. Se l'autorizzazione viene concessa, il processo viene avviato come un processo di integritÓ medio.
1ModalitÓ protetta avvia automaticamente l'intermediario come un processo di integritÓ basso.
0ModalitÓ protetta impedisce che il processo di avvio.

avviso Pu˛ causare seri problemi se si modifica il Registro di sistema in modo errato mediante l'editor del Registro di sistema o utilizzando un altro metodo. Questi problemi potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce che sia possono risolvere questi problemi. La modifica del Registro di sistema Ŕ a rischio e pericolo dell'utente.

SarÓ necessario aggiungere i GUID come illustrato di seguito:
  • Aggiungere questo GUID nella seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Internet Explorer \Low Rights\ElevationPolicy
  • Creare una voce del Registro di sistema simile in una delle seguenti sottochiavi del Registro di sistema:
    HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\InternetExplorer\Low Rights\ElevationPolicy
    HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Low Rights\ElevationPolicy
creare il file con estensione adm personalizzati

Per creare il file con estensione adm personalizzati per includere questo criterio, attenersi alla seguente procedura:
  1. Definire un elenco delle applicazioni per cui si desidera configurare il criterio l'elevazione dei privilegi. Stabilire i criteri di elevazione desiderate per ciascuno di essi. Utilizzare 0?3 i valori della tabella che Ŕ stato descritto in precedenza in questo articolo.
  2. Aprire un editor di testo, ad esempio il blocco note e copiare il modello seguente nel file di blocco note.

    Nota I valori rappresentati da <appname1>, <apppath1>, <clsid1> e <policy1> in questo codice e altri esempi di codice in questo articolo, sono segnaposto per il nome dell'applicazione, il percorso, CLSID e criterio che deve essere applicato.
    CLASS USER
    CATEGORY !!WindowsComponents
    	CATEGORY !!InternetExplorer
    		POLICY !!ConfigureElevationPolicy
    			#if version >= 4
    			SUPPORTED !!SUPPORTED_IE7
    			#endif
    			KEYNAME "Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy"
    			ACTIONLISTON
    				KEYNAME "Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\<GUID1>"
    				VALUENAME AppName       VALUE "<APPNAME1>"	                      
    				VALUENAME AppPath       VALUE "<APPPATH1>"                                                                                     
    				VALUENAME CLSID         VALUE "<CLSID1>"
    				VALUENAME Policy        VALUE NUMERIC "<POLICY1>"
    			END ACTIONLISTON
    		END POLICY
    	END CATEGORY
    END CATEGORY
    
    CLASS MACHINE
    CATEGORY !!WindowsComponents
    	CATEGORY !!InternetExplorer
    		<POLICY ... END POLICY will be exactly same as that under class user>
       	END CATEGORY
    END CATEGORY
    
    
    [strings]
    SUPPORTED_IE7="At least Internet Explorer 7.0"
    WindowsComponents="Windows Components"
    InternetExplorer="Internet Explorer"
    ConfigureElevationPolicy="Enable customizing the elevation policy for Protected Mode"

    creare di ADMX e ADML file

    Per creare i file con estensione ADMX e ADML, Ŕ necessario utilizzare il modello seguente anzichÚ la creazione di file di modello con estensione adm personalizzati. Per popolare questo modello con valori reali per. file adm, Ŕ anche possibile seguire il passaggio 3. Ripetere il blocco di codice tra <enabledlist> e </enabledlist> per altre applicazioni.

    creare il file ElevationPolicy.admx
    <?xml version="1.0" encoding="utf-8"?>
    <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
      <policyNamespaces>
        <target prefix="ElevationPolicy" namespace="Microsoft.Policies.ElevationPolicy" />
        <using prefix="inetres" namespace="Microsoft.Policies.InternetExplorer" />
      </policyNamespaces>
      <resources minRequiredRevision="1.0" />
      <policies>
          <policy name="ConfigureElevationPolicy_1" class="User" displayName="$(string.ConfigureElevationPolicy)" key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy">
          	  <parentCategory ref="inetres:InternetExplorer" />
          	  <supportedOn ref="inetres:SUPPORTED_IE7Vista"/>
              <enabledList>
                 <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\<GUID1>" valueName="AppName">
                   <value>
                     <string><APPNAME1></string>
                   </value>
                 </item>
                 <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\<GUID1>" valueName="AppPath">
                   <value>
                      <string><APPPATH1></string>
                   </value>	
                 </item>	
                 <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\<GUID1>" valueName="CLSID">
                   <value>
                     <string><CLSID1></string>
                   </value>
                 </item>
                 <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\<GUID1>" valueName="Policy">
                   <value>
                     <decimal value="<POLICY1>" />
                   </value>
                 </item>
               </enabledList>
          </policy>
          <policy name="ConfigureElevationPolicy_2" class="Machine" displayName="$(string.ConfigureElevationPolicy)" key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy">
              <parentCategory ref="inetres:InternetExplorer" />
              <supportedOn ref="inetres:SUPPORTED_IE7Vista"/>
              <enabledList> <same as user policy above> </enabledList> 
          </policy> 
      </policies>
    </policyDefinitions>

    creare il file ElevationPolicy.adml

    <?xml version="1.0" encoding="utf-8"?>
    <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
      <displayName>enter display name here</displayName>
      <description>enter description here</description>
      <resources>
        <stringTable>
          <string id="ConfigureElevationPolicy">Enable customizing the elevation policy for Protected Mode</string>
        </stringTable>
      </resources>
    </policyDefinitionResources>

    Nota ╚ consigliabile posizionare il file con estensione ADMX <%windir%> \policydefinitions e il file ADML in <%windir%> \policydefinitions\ <%lang-dir%>. Eseguire gpedit.msc per verificare i risultati.
  3. Inserire il modello di criteri con i valori appropriati. Per effettuare questa operazione, attenersi alla seguente procedura.
    1. Generare un nuovo GUID e sostituire <GUID1> nell'esempio di codice con il nuovo GUID.
    2. La prima applicazione Ŕ stata selezionata, scrivere il nome dell'eseguibile anzichÚ <APPNAME1> e il percorso del file eseguibile in <APPPATH1>. Se l'estensione viene avviato un server COM, aggiungere il CLSID dell'estensione in <CLSID>. Scrivere l'elevazione dei criteri numero 0-3 per l'applicazione <POLICY1>.
    3. Replicare il blocco di codice tra <enabledlist> e </enabledlist> per tutte le altre applicazioni che Ŕ stata selezionata e quindi ripetere i passaggi 3a e passaggio 3b per popolare i blocchi.
    4. Copiare il criterio Ŕ stato creato nel passaggio 3 sotto la voce CLASS MACHINE nel codice.
  4. Salvare il file come file con estensione adm. Ad esempio, salvarlo come ElevationPolicy.adm .
  5. Per verificare i risultati, effettuare le seguenti operazioni:
    1. Aprire l'Editor oggetti Criteri di gruppo.
    2. Individuare la Configurazione Computer e quindi espandere Modelli amministrativi .
    3. Fare clic con il pulsante destro del mouse su Modelli amministrativi , quindi fare clic su Aggiunta/Rimozione modelli . Nella finestra di dialogo, Ŕ necessario scegliere Aggiungi per aggiungere il file ElevationPolicy.adm creato nel passaggio 4.
      Nota I file con estensione ADMX o di un file ADML devono essere inseriti in <%windir%> \policydefinitons\. Pu˛ essere aggiunto in un secondo momento facendo clic su Editor oggetti Criteri di gruppo.
    4. Individuare la Configurazione Computer espandere Modelli amministrativi , espandere Componenti di Windows e quindi fare clic su Internet Explorer .
    5. Nel riquadro di destra, individuare il nuovo criterio "Attiva customizing i criteri di elevazione dei privilegi per la modalitÓ protetta" e attiva questo criterio.
    6. Esaminare il Registro di sistema per verificare che la voce del Registro di sistema desiderato sia presente nella seguente sottochiave:
      HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy
      .
    7. Ripetere il passaggio 5 c per configurazione utente. Esaminare il Registro di sistema per verificare che la voce del Registro di sistema desiderato sia presente nella seguente sottochiave:
      HKEY_CURRENT_USER\Software\policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy
Nota I passaggi 3, 4 e 5b sono solo per i file con estensione adm.

Riferimenti

Per ulteriori informazioni, visitare i seguenti siti Web Microsoft TechNet:
http://technet2.microsoft.com/WindowsVista/en/library/02633470-396c-4e34-971a-0c5b090dc4fd1033.mspx
http://technet2.microsoft.com/WindowsVista/en/library/90c3c5f5-b756-49b1-bfd6-a5da93305bbc1033.mspx
http://technet2.microsoft.com/WindowsVista/en/library/1494d791-72e1-484b-a67a-22f66fbf9d171033.mspx

ProprietÓ

Identificativo articolo: 918239 - Ultima modifica: sabato 27 ottobre 2007 - Revisione: 1.7
Le informazioni in questo articolo si applicano a:
  • Windows Internet Explorer 7
Chiavi:á
kbmt kbhowto kbinfo KB918239 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 918239
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com