none
Windows Server 2012,应用程序需要控制添加和删除 IP地址,需要什么样的帐号权限和配置命令? RRS feed

  • 问题

  • 业务需要在有些情况下,主动开启IP服务;有时候要关闭IP服务。否则会产生IP冲突问题。

    了解到有类似的cmd命令,但是该命令手工执行可以成功,但程序调用就失败。业务程序如果采用 administrator 启动,才能有权限执行以下命令。用其他windows帐号(即使已加入admin用户组),都无法执行成功。

    配置IPnetsh -c interface ip add address name="<network adapter>" addr=<floating IP> mask=<netmask>

    删除IPnetsh -c interface ip delete address name="<network adapter>" addr=<floating IP>

    请问如何解决?望赐教。多谢!

    2018年8月14日 12:51

答案

  • 你好,
    感谢在此提问。

    Win7及以后的操作系统都启用了UAC,即用户账户控制系统。其作用是即使你的当前用户在管理员组里,在平时运行程序和操作时也默认不使用管理员权限,除非在运行某个程序前手动指定。

    跳过UAC提示:
    运行>输入:gpedit.msc>windows设置>安全设置>本地策略>安全选项>用户账户控制:管理员批准模式中管理员的提升权限提示>属性:不提示,直接提升

    祝您工作顺利!

    Travis


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 Wade Liang 2018年8月20日 9:52
    2018年8月15日 2:19
    版主

全部回复

  • 你好,
    感谢在此提问。

    Win7及以后的操作系统都启用了UAC,即用户账户控制系统。其作用是即使你的当前用户在管理员组里,在平时运行程序和操作时也默认不使用管理员权限,除非在运行某个程序前手动指定。

    跳过UAC提示:
    运行>输入:gpedit.msc>windows设置>安全设置>本地策略>安全选项>用户账户控制:管理员批准模式中管理员的提升权限提示>属性:不提示,直接提升

    祝您工作顺利!

    Travis


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 Wade Liang 2018年8月20日 9:52
    2018年8月15日 2:19
    版主
  • Hello Travis,

    我之前的问题描述更新一下:  用Administrator 之外的其他windows帐号(用户已加入admin用户组)登录windows,手工打开 cmd 窗口,无权执行 IP配置命令。

    按你的建议方案,问题还在。我没有贴图的权限,但我确信已配置了你所说的 UAC参数。

    cmd执行失败的提示为: The requested operation requires elevation <Run as administrator>.

    请帮忙再分析一下。

    从cmd失败提示看,似乎说非得用 “administrator” 这个帐号不可,是否如此? 是否有破解方法?  (从安全考虑,业务进程是不允许以 administrator 运行的,否则一旦被攻击入侵,就被操纵系统。 因此,业务进程需要以普通的admin运行,如何做到具备配置IP的权限?)


    2018年8月16日 10:11
  • 补充说明:我测试所用帐号,已经是 Member of  "Administrators"用户组  & "Network Configuration Operators"用户组  & "Performance Monitor Users"用户组  & "Users"用户组。  

    也把你所说的UAC策略配置了。

    配置IP地址的cmd执行失败的提示为: The requested operation requires elevation <Run as administrator>.


    也就是说,类似帖子的问题答案,在我这里不管用。 https://social.technet.microsoft.com/Forums/en-US/1f1b0bed-7974-4f9a-90c7-6336b02af6b7/allow-users-to-change-ip-address-without-giving-them-full-admin-rights?forum=win10itprosecurity

    2018年8月16日 11:36
  • 你好,

    感谢再次回复。

    你改完UAC策略后重启电脑没?

    只有重启后,策略才会生效。

    祝您工作顺利!


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年8月17日 5:42
    版主
  • Hello Travis,

    还是不行。 UAC按照你的建议修改了,并重启过了,还是不行。 cmd错误提示信息还是那样:The requested operation requires elevation <Run as administrator>.

    测试过两种场景,都不行:

    1、测试所用帐号,是 Member of  "Administrators"用户组  & "Network Configuration Operators"用户组  & "Performance Monitor Users"用户组  & "Users"用户组。 

    2、测试所用帐号,是 Member of   "Network Configuration Operators"用户组  & "Performance Monitor Users"用户组  & "Users"用户组。 

    是否Windows还有其他安全机制造成这个情况? 还有什么办法可以定位和解决?

    补充说明一下:Windows系统没有配置 domain controller。但做了一些Windows安全加固配置的。

    2018年8月20日 1:52
  • 你好,

    • 依次展开“计算机管理(本地) - 系统工具 - 本地用户和组 - 用户”在右边的文件里面找到“Administrator”并双击

           在“常规”选项下将“账户已禁用”的勾去掉,这样就开启了 Administrator(管理员)账户。 其他管理员组里的账户也可以这样设置。

           

    • 如果这样不行的话,那么试试将cmd修改成以默认管理员身份运行。

    Win+R – regedit
    找到以下位置
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers

    新建一个字符串值,命名为”c:\windows\system32\cmd.exe”

    然后右键–修改 – 数值数据写入“RUNASADMIN”,确定。

    请参考链接:

    https://blog.csdn.net/qq_41878311/article/details/80641129  

    祝您工作顺利!

    Travis


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年8月20日 6:48
    版主
  • Hello Travis,

    我的问题解决了。  你最早的答复基本是对的,只是参数名说错了。

    把UAC中的  ”Run all administrators in Admin Approval Mode“这个配置项配置为  Disabled, 就可以了。

    多谢!

    2018年8月20日 9:52