Поделиться через


Обновление контроля учетных записей пользователей (UAC)

исправление управления учетными записями пользователей (UAC) позволяет авторам установок установщика Windows определять исправления с цифровой подписью, которые могут применяться в будущем пользователями без администратора.

Если цифровая подпись не соответствует сертификату, Windows Vista отображает диалоговое окно UAC, запрашивающее авторизацию администратора перед установкой исправления. В системах, предшествующих Windows Vista, установщик не применит подписанный патч, не соответствующий сертификату.

Если неадминистратор пытается применить исправление к приложению, а следующие условия не выполнены, Windows Vista уведомит пользователя о необходимости авторизации администратора перед установкой исправления. Неадминистратор может продолжить установку исправления без необходимости получить дополнительную авторизацию администратора, если выполнены следующие условия.

  • Приложение было установлено в Windows Vista или Windows XP с помощью установщика Windows 3.0 или более поздней версии.

    Windows Server 2008: не поддерживается.

  • Если приложение было установлено в Windows XP, приложение также должно быть установлено с съемных носителей, таких как CD-ROM или DVD-диск. Это ограничение не применяется, если приложение было установлено в Windows Vista.

  • Приложение не было установлено из административной установки исходного образа.

  • Приложение изначально устанавливалось на каждый компьютер. Чтобы узнать, как разрешить пользователям, не обладающим правами администратора, применять патчи к управляемым пользователем приложениям после того, как патч будет признан администратором надежным, см. в разделе исправление Per-User управляемых приложений.

  • Таблица MsiPatchCertificate присутствует в пакете установщика Windows (в файле.msi) и содержит сведения, необходимые для включения UAC. Таблица и сведения могут быть включены в исходный пакет установки или добавлены в пакет с помощью файла исправлений установщика Windows (MSP-файл).

  • Исправления подписаны сертификатом, указанным в таблице MsiPatchCertificate. Дополнительные сведения о сертификатах цифровой подписи см. в Цифровые подписи и Установщик Windows.

  • Цифровая подпись пакета исправлений может быть проверена на основе сертификата в таблице MsiPatchCertificate. Дополнительные сведения об использовании цифровых подписей, цифровых сертификатов и WinVerifyTrustсм. в разделе Security пакета SDK для Microsoft Windows.

  • Сертификат подписи, используемый для проверки подлинности цифровой подписи пакета исправлений, не был отменен.

    Заметка

    Хотя вы не можете подписать исправление с использованием сертификата с истекшим сроком действия, оценивание цифровой подписи на исправлении не будет прерываться по истечении срока действия сертификата. Для оценки используется текущая таблица MsiPatchCertificate, которая состоит из таблицы MsiPatchCertificate в исходном пакете и любых изменений в таблице, внесенных исправлениями, которые были применены до текущего. Исправление может добавлять новые сертификаты в таблицу MsiPatchCertificate для оценки исправлений после текущего исправления. Отзыв сертификата всегда отклоняется.

     

  • Исправление с минимальными привилегиями не было отключено путем установки свойства MSIDISABLELUAPATCHING или политики DisableLUAPatching.

Исправление, примененное с помощью патчинга UAC, также может быть удалено пользователем без прав администратора.

Администраторы могут применять исправления к установленным продуктам на компьютере независимо от параметра UAC приложения.

Вы можете определить, включено ли исправление с минимальными привилегиями для приложения с помощью функции MsiGetProductInfoEx для запроса свойства INSTALLPROPERTY_AUTHORIZED_LUA_APP или с помощью метода ProductInfo для запроса свойства "AuthorizedLUAApp". Если значение любого свойства равно 1, приложение включено для исправления учетной записи пользователя с минимальными привилегиями.

Администратор может отключить патчинг с минимальными привилегиями на компьютере, установив для политики безопасности DisableLUAPatching значение 1. Можно установить значение свойства MSIDISABLELUAPATCHING на 1 во время первоначальной установки приложения, чтобы предотвратить обновление с минимальными правами только для этого приложения.

Эта функция доступна начиная с установщика Windows версии 3.0. Исправление контроля учетных записей пользователей (UAC) было названо исправлением учетной записи пользователя с минимальными привилегиями (LUA) в Windows XP. Исправление LUA недоступно в Windows 2000 и Windows Server 2003.

Дополнительные сведения о совместимости приложений и разработке приложений, совместимых с контролем учетных записей пользователей (UAC), см. в сведениях об UAC, предоставляемых в Microsoft Technet.