Как писать custom.adm and.admx файлы административных шаблонов для обеспечения защищенный режим Internet Explorer 7.0 политике повышения полномочий

Переводы статьи Переводы статьи
Код статьи: 918239 - Vizualiza?i produsele pentru care se aplic? acest articol.
Важные Эта статья содержит сведения об изменении реестр. Убедитесь, что перед внесением изменений рекомендуется создать резервную копию реестра. Убедитесь, что что вы знаете, как восстановить реестр в случае возникновения проблем. Для получения дополнительных Нажмите кнопку сведения о том, как резервное копирование, восстановление и внести изменения в реестр следующий номер статьи базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Развернуть все | Свернуть все

В этой статье

Аннотация

В Windows Vista автоматически наследуют защищаемых объектов уровень целостности процесса, который создал их. Таким образом, файлы или разделы реестра имеют низкий целостности при их создании в защищенном режиме. Это означает, что что низкой целостности процесса может получить разрешение на запись к объектам, он создает. Однако процесс низкой целостности не может получить разрешение на запись на средний или высокий целостность папок или файлов профиля пользователя.

По умолчанию когда обозреватель Microsoft Internet Explorer 7.0 работает в защищенном режиме, расширения не может получить доступ к средним уровнем целостности или высокая целостность объекты. Это обеспечивает наилучшей защиты от вредоносных программных атак. Когда расширение требует доступа к объектам выше целостности, по умолчанию Internet Explorer 7.0 выполняется запрос на повышение прав через в диалоговом окне. Если пользователь подтверждает повышение прав, при этом создается процесс посредника с более высоким уровень целостности. Этот процесс посредника обращается к выше целостность объектов от имени в обозревателе Internet Explorer 7.0.

Чтобы переопределить поведение по умолчанию, таким образом, чтобы пользователь не запрос на повышение полномочий в диалоговом окне могут использовать реестр. В данной статье описывается, как Администраторы могут использовать файлы .adm или .admx добавления политики, "Включить политики повышения прав для настройки Защищенный режим,"для обеспечения их требуемого поведение политики повышения прав для различных приложений.

ВВЕДЕНИЕ

Повышение уровня политики реестра организации


Можно создать GUID компонента Service broker со следующими значениями и изменения в политике повышения полномочий по умолчанию:
  • Имя_приложения: Значение REG_SZ имя исполняемого файла.
  • AppPath: Размещение значение REG_SZ для выбранного пользователя исполняемый файл.
  • CLSID: Если расширение запускает сервер COM, добавьте значение REG_SZ содержит идентификатор CLSID элемента расширения.
  • Политика: Следует начать значение типа DWORD, указывающее, как защищенный режим компонента Service Broker. В следующей таблице описаны поддерживаемые значения и их их смысл.
Свернуть эту таблицуРазвернуть эту таблицу
ЗначениеРезультат
3Защищенный режим без вмешательства пользователя запускает компонент Service broker, как Средний уровень целостности процесса.
2Защищенный режим запрашивает у пользователя разрешение на Пуск процесса. Если разрешение предоставлено, процесс запущен как Средний уровень целостности процесса.
1Защищенный режим без вмешательства пользователя запускает компонент Service broker как низкий процесс проверки целостности.
0Защищенный режим запрещает процессу запуск.

Предупреждение При неправильном изменении реестра с помощью редактора реестра или иным способом могут возникнуть серьезные проблемы. Эти проблемы может потребоваться переустановка операционной системы. Корпорация Майкрософт не гарантирует эти проблемы. Изменения в реестр на ваш собственный риск.

Необходимо добавить идентификаторы GUID следующим образом:
  • Добавьте этот идентификатор GUID в следующем подразделе реестра:
    Соответствии со следующей \Internet explorer \Low Rights\ElevationPolicy
  • Создание вида запись реестра в один из следующих подразделов реестра:
    HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\InternetExplorer\Low Rights\ElevationPolicy
    HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Low Rights\ElevationPolicy
Создание пользовательских ADM-файл

Для создания файла пользовательских ADM включить эту политику, выполните следующие действия:
  1. Определить список приложений, для которых требуется настроить Повышение уровня политики. Решите, какая политика повышения прав, необходимых для каждого из них. Используйте 0 до 3 значения из таблицы, которое было описано ранее в этом в статье.
  2. Откройте текстовый редактор, например Блокнот и скопируйте в файл блокнота следующий шаблон.

    Примечание Значения, представленного <appname1>, <apppath1>, <clsid1>, и <policy1> в этот код и другие примеры кода в этой статье, служащие местозаполнителями для имени приложения, путь к нему, CLSID и политику, которую необходимо применить.</policy1></clsid1></apppath1></appname1>
    CLASS USER
    CATEGORY !!WindowsComponents
    	CATEGORY !!InternetExplorer
    		POLICY !!ConfigureElevationPolicy
    			#if version >= 4
    			SUPPORTED !!SUPPORTED_IE7
    			#endif
    			KEYNAME "Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy"
    			ACTIONLISTON
    				KEYNAME "Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\<GUID1>"
    				VALUENAME AppName       VALUE "<APPNAME1>"	                      
    				VALUENAME AppPath       VALUE "<APPPATH1>"                                                                                     
    				VALUENAME CLSID         VALUE "<CLSID1>"
    				VALUENAME Policy        VALUE NUMERIC "<POLICY1>"
    			END ACTIONLISTON
    		END POLICY
    	END CATEGORY
    END CATEGORY
    
    CLASS MACHINE
    CATEGORY !!WindowsComponents
    	CATEGORY !!InternetExplorer
    		<POLICY ... END POLICY will be exactly same as that under class user>
       	END CATEGORY
    END CATEGORY
    
    
    [strings]
    SUPPORTED_IE7="At least Internet Explorer 7.0"
    WindowsComponents="Windows Components"
    InternetExplorer="Internet Explorer"
    ConfigureElevationPolicy="Enable customizing the elevation policy for Protected Mode"

    Создание файлов .admx и .adml

    Чтобы создать файлы .admx и .adml, используйте следующий шаблон Вместо создания пользовательских .adm файлы шаблонов. Для заполнения с реальными значениями для этого шаблона. ADM-файлов, можно также перейти к шагу 3. Повторять блок кода между <enabledlist> и </enabledlist> другие приложения.

    Создайте файл ElevationPolicy.admx
    <?xml version="1.0" encoding="utf-8"?>
    <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
      <policyNamespaces>
        <target prefix="ElevationPolicy" namespace="Microsoft.Policies.ElevationPolicy" />
        <using prefix="inetres" namespace="Microsoft.Policies.InternetExplorer" />
      </policyNamespaces>
      <resources minRequiredRevision="1.0" />
      <policies>
          <policy name="ConfigureElevationPolicy_1" class="User" displayName="$(string.ConfigureElevationPolicy)" key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy">
          	  <parentCategory ref="inetres:InternetExplorer" />
          	  <supportedOn ref="inetres:SUPPORTED_IE7Vista"/>
              <enabledList>
                 <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\<GUID1>" valueName="AppName">
                   <value>
                     <string><APPNAME1></string>
                   </value>
                 </item>
                 <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\<GUID1>" valueName="AppPath">
                   <value>
                      <string><APPPATH1></string>
                   </value>	
                 </item>	
                 <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\<GUID1>" valueName="CLSID">
                   <value>
                     <string><CLSID1></string>
                   </value>
                 </item>
                 <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\<GUID1>" valueName="Policy">
                   <value>
                     <decimal value="<POLICY1>" />
                   </value>
                 </item>
               </enabledList>
          </policy>
          <policy name="ConfigureElevationPolicy_2" class="Machine" displayName="$(string.ConfigureElevationPolicy)" key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy">
              <parentCategory ref="inetres:InternetExplorer" />
              <supportedOn ref="inetres:SUPPORTED_IE7Vista"/>
              <enabledList> <same as user policy above> </enabledList> 
          </policy> 
      </policies>
    </policyDefinitions>

    Создайте файл ElevationPolicy.adml

    <?xml version="1.0" encoding="utf-8"?>
    <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
      <displayName>enter display name here</displayName>
      <description>enter description here</description>
      <resources>
        <stringTable>
          <string id="ConfigureElevationPolicy">Enable customizing the elevation policy for Protected Mode</string>
        </stringTable>
      </resources>
    </policyDefinitionResources>

    Примечание Следует поместить файл ADMX в группе<%windir%>\policydefinitions и .adml файл в списке <%windir%>\policydefinitions\<%lang-dir%>. Выполните команду gpedit.msc для проверки результатов.
  3. Заполните шаблон политики с соответствующими значениями. Для этого Это, выполните следующие действия.
    1. Создать новый идентификатор GUID и замена <guid1></guid1> в примере кода с помощью нового GUID.
    2. Для первого приложения выбранной записи имя исполняемого файла, а не <appname1></appname1> и путь к исполняемому файлу в <apppath1></apppath1>. Если ваш расширение запускает сервер COM, добавьте идентификатор CLSID объекта расширения в <clsid></clsid>. Запись повышение уровня политики номер 0-3 для приложения в <policy1></policy1>.
    3. Реплицировать блок кода, <enabledlist> и </enabledlist> для других приложений установлен и повторите шаги 3a и этап 3b заполнить те блоки.
    4. Копирование политики, созданный на шаге 3 в разделе запись МАШИНЫ КЛАССА в коде.
  4. Сохраните файл как файл .adm. Например, Сохраните подключение в файле ElevationPolicy.adm.
  5. Чтобы проверить результаты, выполните следующее:
    1. Откройте редактор объектов групповой политики.
    2. Найдите Конфигурация компьютера, и затем разверните узел Административные шаблоны.
    3. Щелкните правой кнопкой мыши Административные шаблоны, а затем нажмите кнопку Добавление и удаление Шаблоны. В диалоговом окне нажмите кнопку Добавить Чтобы добавить ElevationPolicy.adm файл, созданный на шаге 4.
      Примечание Файлы с расширениями ADMX или .adml файлы необходимо поместить в разделе <%windir%>\policydefinitons\. Они не могут добавить позже, щелкнув правой кнопкой мыши в редакторе объектов групповой политики.
    4. Найдите Конфигурация компьютера, Откройте группу Административные шаблоны, разверните узел Windows Компоненты, а затем нажмите кнопку Обозреватель Internet Explorer.
    5. В Правая панель поиска для новой политики "Включить настройки политики повышения прав для защищенного режима» и включить эту политику.
    6. Проверьте, чтобы убедиться, что запись реестра, необходимые группе заполнен Следующий подраздел:
      HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy
      .
    7. Повторите шаг 5 c для конфигурации пользователя. Проверить Убедитесь, что параметр требуемого заполнен в разделе реестра Следующий подраздел:
      HKEY_CURRENT_USER\Software\policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy
Примечание Действия 3d, 4 и 5b являются только для ADM-файлов.

Ссылки

Для получения дополнительных сведений посетите следующий веб-узле TechNet Веб-узлы:
http://technet2.Microsoft.com/windowsvista/en/Library/02633470-396c-4e34-971a-0c5b090dc4fd1033.mspx
http://technet2.Microsoft.com/windowsvista/en/Library/90c3c5f5-b756-49b1-bfd6-a5da93305bbc1033.mspx
http://technet2.Microsoft.com/windowsvista/en/Library/1494d791-72e1-484b-a67a-22f66fbf9d171033.mspx
Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования.

Свойства

Код статьи: 918239 - Последний отзыв: 18 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Windows Internet Explorer 7
Ключевые слова: 
kbhowto kbinfo kbmt KB918239 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:918239

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com