É possível ver quais permissões um instalador de aplicativos precisa enquanto está sendo executado? Estou pensando em um tipo de depurador ou monitor para ver o que o Windows está verificando.
A situação é que temos um aplicativo do Windows desenvolvido internamente que se atualiza regularmente, e os usuários sempre foram executados em contas de administrador local para que essa atualização funcione. Acho que isso é um pouco demais para o meu gosto e gostaria de conceder apenas as permissões necessárias para o instalador funcionar corretamente.
Pode ser impossível alterar o comportamento do instalador ou até mesmo examinar as etapas que ele está realizando diretamente.
É possível ver exatamente quais janelas de permissão estão parando durante a execução deste instalador?
Eu consegui determinar que o instalador precisa ter acesso de gravação a C:\Windows e C:\Windows\System32 devido a mensagens de erro específicas, mas depois disso, ele pára em um pouco genérico "Você não tem acesso para fazer o necessário modificações na configuração do sistema. Por favor, execute novamente esta instalação a partir de uma conta de administradores. "
Sim, ele se chama Process Monitor da SysInternals (agora parte da MS), e é uma dádiva de Deus.
Além disso, faça com que o seu gerenciamento aprove a ideia e faça com que seus desenvolvedores testem essa porcaria como usuários comuns nos sistemas de teste, para que eles não façam mais trabalho para corrigir os erros.
Em vez de descobrir as permissões perfeitas, você pode iniciar o processo de atualização usando o Utilitário" runas "
OK, diferente da ideia do Process Monitor para encontrar as permissões necessárias, ou RunAs para fornecer as permissões administrativas, você sempre pode executar o atualizador em um contexto do sistema para evitar toda a confusão, não é?
Use scripts de inicialização do AD ou configurações de instalação de software para executar o atualizador em um contexto do sistema ou, em vez de configurar o serviço de atualização para ser executado no contexto do usuário, altere-o para executar como NTAUTHORITY\Local Serveice ou SYSTEM . Também é facilmente alcançado por meio de um GPO ou script.