อาการ
พิจารณาสถานการณ์สมมติต่อไปนี้:
-
คุณปรับใช้นโยบายการ AppLocker ร่วมกับกฎเริ่มต้นใน Windows 7 Service Pack 1 (SP1) -ตาม หรือ Windows Server 2008 R2 SP1 บนคอมพิวเตอร์
-
ผู้ดูแลหรือผู้ใช้ของกลุ่มการมีสิทธิ์อื่น ๆ สูงสามารถเรียกใช้แฟ้มปฏิบัติการได้ที่อยู่ใน whitelist การที่กำหนดไว้ในนโยบาย AppLocker โดยไม่ได้รับการพร้อมท์การควบคุมบัญชีผู้ใช้ (UAC) บนคอมพิวเตอร์
-
คุณสร้างผู้ใช้ที่มีชื่อว่า "AdminUser" เป็นสมาชิกของกลุ่ม Administrators หรือกลุ่มที่มีสิทธิ์อื่น ๆ สูง
-
คุณใช้ "AdminUser" เมื่อต้องการเรียกใช้แฟ้มปฏิบัติการที่อยู่ใน whitelist
ในสถานการณ์สมมตินี้ คุณยังคงจำเป็นต้องใช้ตัวเลือกการเรียกใช้ในฐานะผู้ดูแลเพื่อเรียกใช้แฟ้ม มิฉะนั้น การดำเนินการที่ล้มเหลว และคุณได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:
ผู้ดูแลระบบของคุณได้บล็อกโปรแกรมนี้
หมายเหตุ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับกลุ่มที่มีสิทธิ์สูง ไปส่วนอ้างอิง
สาเหตุ
ปัญหานี้เกิดขึ้นเนื่องจากตัวระบุความปลอดภัยของผู้ดูแลในโทเค็นการเข้าถึงของผู้ใช้ถูกปิดใช้งาน โดย UAC
การแก้ปัญหา
ข้อมูลโปรแกรมแก้ไขด่วน
มีโปรแกรมแก้ไขด่วนที่รองรับพร้อมให้บริการจาก Microsoft อย่างไรก็ตาม โปรแกรมแก้ไขด่วนนี้มุ่งหวังเพื่อการแก้ไขเฉพาะปัญหาที่อธิบายไว้ในบทความนี้ ใช้ hotfix นี้เฉพาะกับระบบต่าง ๆ ที่พบปัญหานี้
หากโปรแกรมแก้ไขด่วนพร้อมสำหรับการดาวน์โหลด คุณจะเห็นส่วน "มีการดาวน์โหลดโปรแกรมแก้ไขด่วน" ที่ด้านบนของบทความฐานข้อมูลองค์ความรู้นี้ หากส่วนนี้ไม่ปรากฏขึ้น ส่งคำขอถึงฝ่ายบริการและการสนับสนุนลูกค้าของ Microsoft และวิธีการขอรับโปรแกรมแก้ไขด่วน
หมายเหตุ ถ้ามีปัญหาอื่น ๆ เกิดขึ้น หรือถ้าจำเป็นต้องแก้ไขปัญหาใด ๆ คุณอาจต้องสร้างคำขอรับบริการแยกต่างหาก จะมีค่าใช้จ่ายในการสนับสนุนปกติกับคำถามเพิ่มเติมและเรื่องอื่น ๆ ที่ไม่มีสิทธิได้รับโปรแกรมแก้ไขด่วนเฉพาะนี้ สำหรับรายชื่อทั้งหมด ของหมายเลขโทรศัพท์ของฝ่ายบริการลูกค้าของ Microsoft และการสนับสนุน หรือ เพื่อสร้างการร้องขอบริการแยกต่างหาก แวะไปที่เว็บไซต์ของ Microsoft ต่อไปนี้:
หมายเหตุ แบบฟอร์ม "โปรแกรมแก้ไขด่วนดาวน์โหลดพร้อมใช้งาน" แสดงภาษาโปรแกรมแก้ไขด่วนจะพร้อมใช้งาน ถ้าคุณไม่เห็นภาษาของคุณ อาจเป็น เพราะไม่มีโปรแกรมแก้ไขด่วนพร้อมใช้งานสำหรับภาษานั้น
ข้อกำหนดเบื้องต้น
เมื่อต้องการใช้โปรแกรมแก้ไขด่วนนี้ คุณต้องเรียกใช้ Windows 7 SP1 หรือ Windows Server 2008 R2 SP1 สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการขอรับ Windows 7 หรือ Windows Server 2008 R2 เซอร์วิสแพ็ค โปรดคลิกที่หมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
ข้อมูลเกี่ยวกับ Service Pack 1 สำหรับ Windows 7 และ สำหรับ Windows Server 2008 R2
ข้อมูลรีจิสทรี
เมื่อต้องการใช้การปรับปรุงในแพคเกจนี้ คุณไม่ต้องทำการเปลี่ยนแปลงใด ๆ ในรีจิสทรี
ข้อกำหนดการรีสตาร์ท
คุณไม่จำเป็นต้องรีสตาร์ทเครื่องคอมพิวเตอร์หลังจากใช้การปรับปรุงนี้
ข้อมูลการแทนที่การปรับปรุง
การปรับปรุงนี้ไม่ได้แทนที่การปรับปรุงที่ออกมาก่อนหน้านี้
การปรับปรุงนี้รุ่นสากลจะติดตั้งแฟ้มที่มีแอตทริบิวต์ซึ่งแสดงรายการไว้ในตารางต่อไปนี้ วันที่และเวลาสำหรับแฟ้มเหล่านี้จะแสดงรายการไว้ในรูปแบบเวลามาตรฐานสากล (UTC) วันที่และเวลาสำหรับแฟ้มเหล่านี้บนเครื่องคอมพิวเตอร์เฉพาะที่ของคุณจะแสดงผลตามเวลาท้องถิ่นของคุณร่วมกับความโน้มเอียงของเวลาตามฤดูกาล (DST) ในปัจจุบันของคุณ นอกจากนี้ วันและเวลาอาจเปลี่ยนแปลงเมื่อคุณดำเนินการบางอย่างในแฟ้ม
หมายเหตุข้อมูลแฟ้ม Windows 7 และ Windows Server 2008 R2
สิ่งสำคัญ โปรแกรมแก้ไขด่วนของ Windows 7 และโปรแกรมแก้ไขด่วนของ Windows Server 2008 R2 จะรวมอยู่ในแพคเกจเดียวกัน อย่างไรก็ตาม โปรแกรมแก้ไขด่วนบนเพจคำขอโปรแกรมแก้ไขด่วนปรากฏอยู่ภายใต้ระบบปฏิบัติการทั้งสอง เมื่อต้องการร้องขอแพคเกจโปรแกรมแก้ไขด่วนที่ใช้กับระบบปฏิบัติการหนึ่ง หรือทั้งสอง เลือกโปรแกรมแก้ไขด่วนที่อยู่ภายใต้ "Windows 7/Windows Server 2008 R2" ในหน้า อ้างอิงส่วน "นำไปใช้กับ" ในบทความเสมอเพื่อกำหนดระบบปฏิบัติการจริงที่จะนำโปรแกรมแก้ไขด่วนแต่ละโปรแกรมไปใช้ด้วย
-
แฟ้มที่นำไปใช้กับผลิตภัณฑ์เจาะจง หลักเป้าหมาย (RTM, SPn), และสาขาเซอร์วิส (LDR, GDR) สามารถระบุได้ ด้วยการตรวจสอบหมายเลขรุ่นของแฟ้มดังที่ปรากฏในตารางต่อไปนี้:
-
สาขาบริการของ GDR ประกอบด้วยบรรดาโปรแกรมแก้ไขเฉพาะที่มีการนำออกใช้อย่างกว้างขวางเพื่อจัดการกับปัญหาร้ายแรงที่แพร่กระจายเป็นวงกว้าง สาขาบริการของ ldr จะประกอบด้วยโปรแกรมแก้ไขด่วนนอกจากการแก้ไขที่ออกในวงกว้าง
-
แฟ้ม MANIFEST (.manifest) และแฟ้ม MUM (.mum) ที่มีการติดตั้งไว้สำหรับแต่ละสภาพแวดล้อมจะแสดงรายการไว้โดยแยกต่างหากในส่วน "ข้อมูลแฟ้มเพิ่มเติมสำหรับ Windows 7 และสำหรับ Windows Server 2008 R2" แฟ้ม MUM และแฟ้ม MANIFEST และ แฟ้มแค็ตตาล็อก (.cat) การรักษาความปลอดภัยที่เกี่ยวข้อง เป็นสิ่งสำคัญสำหรับการรักษาสถานะของคอมโพเนนต์ปรับปรุงแล้ว แฟ้มแค็ตตาล็อกการรักษาความปลอดภัยซึ่งแอตทริบิวต์ไม่ได้แสดงรายการไว้จะได้รับการลงชื่อด้วยลายเซ็นดิจิทัลของ Microsoft
สถานะ
Microsoft ยืนยันว่านี่เป็นปัญหาในผลิตภัณฑ์ของ Microsoft ซึ่งแสดงไว้ในส่วน "นำไปใช้กับ"
ข้อมูลเพิ่มเติม
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับศัพท์เฉพาะในการปรับปรุงซอฟต์แวร์ ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
คำอธิบายของคำศัพท์มาตรฐานที่ใช้เพื่ออธิบายปรับปรุงซอฟต์แวร์ของ Microsoftสำหรับข้อมูลเพิ่มเติมเกี่ยวกับปัญหานี้ คลิกที่หมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
คอมพิวเตอร์ไคลเอ็นต์ A DHCP ที่มีอะแดปเตอร์เครือข่ายหลาย และที่กำลังเรียกใช้ Windows 7 หรือ Windows Server 2008 R2 ไม่สามารถต่ออายุการเช่า DHCP เมื่อคอมพิวเตอร์ตื่นขึ้น
ข้อมูลแฟ้มเพิ่มเติม
แฟ้มเพิ่มเติมสำหรับทั้งหมดได้รับการสนับสนุนของ Windows 7 SP1 และ Windows Server 2008 R2 SP1 รุ่นที่ใช้ x86
ข้อมูลอ้างอิง
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้ AppLocker ไปที่เว็บไซต์ TechNet ดังต่อไปนี้:
กลุ่มต่อไปนี้จะถือเป็นกลุ่มที่มีสิทธิ์สูง:
-
ผู้ดูแลที่มีอยู่แล้ว
-
ผู้ใช้ขั้นสูง
-
ตัวดำเนินการบัญชี
-
Server Operators
-
ตัวดำเนินการเครื่องพิมพ์
-
ตัวดำเนินการสำรองข้อมูล
-
กลุ่มเซิร์ฟเวอร์ RAS
-
กลุ่มความเข้ากันได้ของโปรแกรมประยุกต์ Windows NT 4.0
-
ตัวดำเนินการกำหนดค่าเครือข่าย
-
ผู้ดูแลโดเมน
-
ตัวควบคุมโดเมน
-
ผู้เผยแพร่ที่ใบรับรอง
-
ผู้ดูแลระบบเค้าร่าง
-
ผู้ดูแลระบบองค์กร
-
ผู้ดูแลของนโยบายกลุ่ม