none
如何以普通用户的权限运行ie RRS feed

  • 问题

  •  

    系统是vista sp1,以administrator登陆后,用runas命令以一个普通用户运行浏览器,系统提示不支持runas命令,但是可以用runas命令以安装系统后建立的administrators组的用户的权限运行ie,请教如何用管理员登陆系统后以普通用户的权限运行ie?谢谢
    2008年4月13日 7:46

答案

  •  呆若木鸡 写:

    启用uac后,ie也不支持用runas命令



    这是设计特性,无法修改,详细信息请参考:http://support.microsoft.com/kb/922980

    在启用UAC的情况下,如果确实需要以其他用户(而非当前用户提升权限后的身份)的身份启动IE,还是有间接的办法实现的,就是比较麻烦,而且也不怎么实用:

    运行secpol.msc打开本地安全策略控制台,从左侧树形列表中进入到“本地策略-安全选项”,在右侧找到并双击“User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode”这条策略,从下拉菜单中选择“Prompt for credentials”。

    再次以管理员身份运行IE,在提升对话框中,可以选择本机的其他管理员帐户,并输入密码,然后运行IE

    但这样做有两个局限:

    1,只能选择本机的其他管理员帐户,标准帐户无法选择。因此这和使用当前管理员帐户提升后的权限运行IE是没有区别的
    2,每次使用每个管理员帐户进行提升的时候,都将被要求输入密码(以前只需要确认即可),相当麻烦


    2008年4月13日 12:59
  •  

    我以前写的那个方法,实质是Windows XP/2003下用软件限制策略,以降低权限的方法运行IE。

     

    但是这种方法没有Vista下的IE保护模式那么安全,因为XP/2003上,即使采用这种方法,我们也只需几行代码就可以破解(虽然在实际使用上,很少有黑客愿意这么做),这是因为在XP/2003,我们没有办法阻止Window消息传递。

     

    请确保启用UAC,从而启用IE保护模式,这样可以获得更高的安全级别,比UAC还要安全,因为保护模式不仅可以阻止恶意的Window消息传递,还可以把IE进程可以写入的区域限制在特定的注册表和文件系统中。

     

    当然最安全的办法,莫过于直接用标准用户登录,需要时切换到管理员帐户,安全和易用,永远是一对矛盾。

     

    Windows Vista的安全性远高于Windows XP,而且还支持最新的软硬件标准,在大内存条件下,其性能也高于XP。
    2008年4月18日 2:15

全部回复

  • 首先给你介绍一下Vista的机制,不管用什么类型的帐户登陆,运行程序默认情况下都是以普通权限运行的,除非你点的Run as Administrator方式运行,所以你以管理员登陆运行IE也是普通权限的IE,除非你的Explorer.exe文件是以管理员权限运行的,那么所有运行的程序不会提示你 直接用管理员权限运行。

     

    谢谢

    Wilson

    2008年4月13日 8:12
    版主
  •  

    谢谢你的解答,但是用管理员登陆后运行ie和用普通用户登陆后运行ie,用procexp查看ie进程的属性/安全选项是不一样的,administrators组的privilege默认打开四个,普通用户是一个

    2008年4月13日 8:26
  • 你用procexp察看一个用管理员权限运行的CMD和ie看看有什么区别吗

    2008年4月13日 8:35
    版主
  • 刚才打错了,administrator是三个,我用administrator登陆,cmd和ie是一样的,都是三个,切换到普通用户是一个

    2008年4月13日 8:40
  • 您是否关闭了UAC?

    2008年4月13日 9:13
    版主
  •  

    是的,禁用了uac
    2008年4月13日 9:15
  •  呆若木鸡 写:

     

    是的,禁用了uac

     

    哦  呵呵 这就难怪了,如果禁用了UAC,那么以管理员登陆并运行的所有程序不能选择,直接是管理员权限的,是无法以普通权限运行的,不过还是建议开启UAC,没有UAC的话用Vista就没有什么优势了。

    2008年4月13日 9:23
    版主
  • 启用uac后,ie也不支持用runas命令

    2008年4月13日 9:39
  • 在使用系统管理员帐户登录系统时不管开启与否UAC 都将使用管理员权限打开文件

    建议楼主新建一个标准用户 在有需要的时候再runas进行提权运行。

    2008年4月13日 10:37
  •  呆若木鸡 写:

    启用uac后,ie也不支持用runas命令



    这是设计特性,无法修改,详细信息请参考:http://support.microsoft.com/kb/922980

    在启用UAC的情况下,如果确实需要以其他用户(而非当前用户提升权限后的身份)的身份启动IE,还是有间接的办法实现的,就是比较麻烦,而且也不怎么实用:

    运行secpol.msc打开本地安全策略控制台,从左侧树形列表中进入到“本地策略-安全选项”,在右侧找到并双击“User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode”这条策略,从下拉菜单中选择“Prompt for credentials”。

    再次以管理员身份运行IE,在提升对话框中,可以选择本机的其他管理员帐户,并输入密码,然后运行IE

    但这样做有两个局限:

    1,只能选择本机的其他管理员帐户,标准帐户无法选择。因此这和使用当前管理员帐户提升后的权限运行IE是没有区别的
    2,每次使用每个管理员帐户进行提升的时候,都将被要求输入密码(以前只需要确认即可),相当麻烦


    2008年4月13日 12:59
  •  刘晖 写:
     呆若木鸡 写:

    启用uac后,ie也不支持用runas命令



    这是设计特性,无法修改,详细信息请参考:http://support.microsoft.com/kb/922980

    在启用UAC的情况下,如果确实需要以其他用户(而非当前用户提升权限后的身份)的身份启动IE,还是有间接的办法实现的,就是比较麻烦,而且也不怎么实用:

    运行secpol.msc打开本地安全策略控制台,从左侧树形列表中进入到“本地策略-安全选项”,在右侧找到并双击“User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode”这条策略,从下拉菜单中选择“Prompt for credentials”。

    再次以管理员身份运行IE,在提升对话框中,可以选择本机的其他管理员帐户,并输入密码,然后运行IE

    但这样做有两个局限:

    1,只能选择本机的其他管理员帐户,标准帐户无法选择。因此这和使用当前管理员帐户提升后的权限运行IE是没有区别的
    2,每次使用每个管理员帐户进行提升的时候,都将被要求输入密码(以前只需要确认即可),相当麻烦


     

    谢谢,记得盆盆以前有一篇在xp或2003下通过修改注册表来使用普通用户运行ie的文章,以管理员登陆后以普通用户来运行ie确实很安全,如你所说,如果用runas命令以普通用户来运行ie,会提示"不支持runas命令行".

    2008年4月13日 14:02
  •  呆若木鸡 写:

    谢谢,记得盆盆以前有一篇在xp或2003下通过修改注册表来使用普通用户运行ie的文章,以管理员登陆后以普通用户来运行ie确实很安全,如你所说,如果用runas命令以普通用户来运行ie,会提示"不支持runas命令行


    可这样做要实现的目的是什么呢?如果是为了安全,保持默认的设置,即,启用UAC,同时启用IE 7的保护模式。这样的设置已经是很安全的了,甚至和使用标准帐户启动IE的安全性一样

    因为:
    1,在启用UAC的情况下,就算是管理员,默认情况下也只能使用标准用户的凭据启动程序,包括IE在内。
    2,在启用保护模式的情况下,IE会运行在内存中一块专用的区域中,除了IE的缓存位置,甚至都无法和其他文件目录进行交互

    因此我建议你保持默认设置即可,除非还需要实现其他比较特殊的功能。如果有,请详细说一下
    2008年4月13日 14:08
  •  

    我以前写的那个方法,实质是Windows XP/2003下用软件限制策略,以降低权限的方法运行IE。

     

    但是这种方法没有Vista下的IE保护模式那么安全,因为XP/2003上,即使采用这种方法,我们也只需几行代码就可以破解(虽然在实际使用上,很少有黑客愿意这么做),这是因为在XP/2003,我们没有办法阻止Window消息传递。

     

    请确保启用UAC,从而启用IE保护模式,这样可以获得更高的安全级别,比UAC还要安全,因为保护模式不仅可以阻止恶意的Window消息传递,还可以把IE进程可以写入的区域限制在特定的注册表和文件系统中。

     

    当然最安全的办法,莫过于直接用标准用户登录,需要时切换到管理员帐户,安全和易用,永远是一对矛盾。

     

    Windows Vista的安全性远高于Windows XP,而且还支持最新的软硬件标准,在大内存条件下,其性能也高于XP。
    2008年4月18日 2:15