Temos um servidor Windows 2008R2 que executa nossos scripts de construção.
No momento, não é possível corrigir nossos scripts para que eles possam ser executados sem elevação. Por favor, não se incomode. é atualmente mais viável para arriscar quebrar a máquina ou abrir uma falha de segurança do que corrigir todos os aplicativos de terceiros que os scripts estão usando.
Encontrei duas opções de política de seg. local que achei que poderia usar:
User Account Control: Admin Approval Mode for the Built-in Administrator account
e
User Account Control: Run all administrators in Admin Approval Mode
O segundo basicamente desliga o UAC completamente, então todas as contas de administrador sempre executam qualquer coisa executada com elevação total. (Se bem entendi.)
O primeiro deles tem o meu interesse: Aparentemente, a conta de administrador interna tem a capacidade (seu padrão) de sempre executar qualquer coisa totalmente elevada.
É de alguma forma possível habilitar essa configuração para uma conta de usuário de domínio, para que possamos executar nossos scripts como esse usuário, contornando completamente o UAC para os scripts, mas mantendo o UAC para todas as interações humanas com o servidor? / em>
Parece que a melhor maneira de lidar é criar uma unidade organizacional para estações de trabalho ou, para um grupo específico de pessoas, um grupo de segurança e criar uma diretiva de grupo vinculada à unidade organizacional ou ao grupo de segurança. Em que a única mudança de política seria as opções do UAC ... Devo dizer, vinculá-lo à UO e filtrar pelo grupo de segurança ...