Rise Company
25-05-2019, 18:32
ويندوز سيرفر Window Server تبديل رسالة user access denied بطلب admin privilege
how to change user access denied with requesting admin privilege
تأمين UAC uac group policy server
تعتمد هذه الخدمة على المستخدمين الذين يملكون صلاحيات المدير Administrator وتقوم هذه الخدمة عن طريق منع جميع المستخدمين بما فيهم المديرين Admins من القيام بأعمال معينة (مثل تنصيب البرامج وتغيير إعدادات النظام) حتى تتم الموافقة عن طريق عرض رسالة صغيرة تفيد بأن هذا العمل قد يخرب الجهاز أو قد يؤثر على المستخدمين الآخرين. فإذا كان هذا المستخدم مدير Admin فإن الرسالة تسأله فقط عن الموافقة. أما إذا كان هذا المستخدم غير مدير فإن الرسالة تسأله عن اسم مستخدم وكلمة مرور لأحد المستخدمين المديرين أو سوف يتم إلغاء العملية. وتسمى هذا الرسالة أو هذه العملية رفع Elevation لأنها تقوم بإعطاء المستخدم الصلاحيات الكافية التي ربما تكون أعلى من صلاحياته إذا كان غير مدير للقيام بالمهمة المطلوبة. وهذه الرسالة تكون مشابهة للشكل التالي:
https://www.rise.company/upload/uploads/155881999865181.jpg
نلاحظ أن الويندوز يختار شكل درع علامة على أن هذا البرنامج أو هذا الأمر يحتاج إلى Elevation
التحكم المتقدم في UAC
أولا سوف ننتقل إلى شاشة التحكم في UAC وهي عن طريق Control Panel -> Administrative Tools -> Local Security Policies أو عن طريق Start -> Run -> secpol.msc. بعد ظهور شاشة التحكم في سياسات التأمين الخاصة بالنظام Local Security Policies، من اليسار قم بالذهاب إلى السياسات المحلية Local Policies ثم إلى خيارات التأمين Security Options لتظهر لك على اليمين قائمة بخيارات التأمين الخاصة بهذه المجموعة. لاحظ الشكل التالي.
والآن سوف نتعرض لكل اختيار على حدة من خيارات UAC أو User Access Control على حدة.
Admin Approval Mode for Built-in Administrator account
هذا الاختيار يحدد هل تطبق خدمة UAC أو بالأصح عملية Elevation أو كما تسمى نظام موافقة المدير Admin Approval Mode على المستخدم المسمى Administrator الخاص بالويندوز أم لا. ومعنى هذا هو إظهار رسائل الـ Elevation أو لا.
لاحظ الفرق بين صلاحيات المدير Administrator Privileges وبين المستخدم المسمى Administrator والذي يملك أيضا نفس الصلاحيات.
القيمة الطبيعية لهذه الخاصية هي: غير متاح Disabled
Behavior of the elevation prompt for administrators in Admin Approval Mode
هذا الاختيار يحدد السلوك الذي تتخذه خدمة UAC إذا كانت في وضع الاستخدام بالنسبة للمستخدمين ذوي صلاحيات المدير Administrator. ونقصد بالسلوك هو نوع الرسالة التي ستظهر أو هل سيتم إظهار رسالة أم لا.
وهذا الاختيار له ثلاثة أوضاع:
السؤال عن الموافقة Prompt for consent (الطبيعي):
رسالة صغيرة تسأل المستخدم عن موافقته Consent أو لا.
السؤال عن الاعتمادات Prompt for credentials:
رسالة تسأل المستخدم عن كلمة مروره.
الرفع من غير السؤال Elevate without prompting:
يتم تطبيق عملية الرفع Elevation بدون إظهار أي رسائل.
الأشكال التالية توضح نوعي الرسالة رسالة الموافقة Consent ورسالة بيانات الدخول Credentials.
https://www.rise.company/forum/images/imported/2019/05/40.jpg
رسالة الموافقة Prompt for Consent
https://www.rise.company/forum/images/imported/2019/05/23.png
رسالة الاعتمادات Prompt for Credentials
Behavior of the elevation prompt for standard users
هذا الاختيار يحدد السلوك الذي تتخذه خدمة UAC إذا كانت في وضع الاستخدام بالنسبة للمستخدمين الذين لا يملكون صلاحيات المدير Administrator.
وهذا الاختيار له وضعين:
السؤال عن الاعتمادات Prompt for credentials (الطبيعي):
تظهر رسالة تسأل المستخدم عن اسم المستخدم وكلمة المرور لأي مستخدم آخر له صلاحيات المدير Administrator.
رفض العملية بدون إظهار رسائل Automatically deny elevation requests (الطبيعي للإصدارا من نوع Enterprise):
لن يتم إظهار رسائل وسوف يتم رفض العملية وإلغاؤها.
Detect application installations and prompt for elevation
يحدد هذا الاختيار ما إذا كانت خدمة UAC تقوم بالكشف عن ما إذا كان هذا الملف يقوم بتنصيب برنامج أم لا. وحينئذ إذا كان الملف هو ملف تنصيب تقوم بإظهار رسالة Elevation أو حتى الموافقة تلقائيا حسب الاختيارات الأخرى.
في حالة إلغاء هذه الخدمة فإن ملفات التنصيب هذه سوف تعمل كأي ملفات أخرى، بمعنى أنها سوف تحاول تنصيب البرنامج بدون عملية Elevation وحينئذ سوف تفشل تلقائيا مالم تقوم أنت بعمل عملية Elevation عن طريق مثلا الضغط بزر الفأرة الأيمن على الملف واختيار Run as Administrator.
القيمة الطبيعية لهذه الخاصية هي: متاح Enabled، أو غير متاح Disabled للإصدارات Enterprise.
Only elevate executables that are signed and validated
إذا قمت بتحديد هذا الاختيار لن يتم السؤال عن الموافقة إلا مع البرامج التي لها شهادات موثوقة مثل برامج Microsoft و Adobe والشركات المعروفة. أما ما عدا هذا فسوف يتم الرفض تلقائيا.
القيمة الطبيعية لهذه الخاصية هي: غير متاح Disabled.
Only elevate UIAccess applications that are installed in secure locations
اختيار متقدم. يحدد ما إذا كانت البرامج التي تطلب صلاحيات الوصول إلى واجهة النظام UIAccess سوف يتم الموافقة عليها تلقائيا إذا كانت في مكان آمن مثلا Program Files أو لا.
سوف نعرف ما هي صلاحيات UIAccess أثناء تعاملنا مع الكود.
القيمة الطبيعية لهذه الخاصية هي: متاح Enabled.
Run all administrators in Admin Approval Mode
يحدد هذا الاختيار ما إذا كانت عملية Elevation سوف تتم تلقائيا مع جميع المستخدمين ذوي صلاحيات المدير Administrator أم لا.
في حالة تحديد هذا الاختيار لن يتم سؤال المستخدمين ذوي صلاحيات المدير Administrator على Elevation وسوف تتم هذه العملية والسماح لهم تلقائيا. أما في حالة إلغاء هذا الاختيار فسوف يتم عمل عملية Elevation تلقائيا. أما المستخدمين الذين لا يملكون صلاحيات المدير Administrator لن يتم سؤالهم وسوف يتم الرفض تلقائيا.
هذا الاختيار هو بمثابة إلغاء هذه الخدمة تماما أو تشغليها.
القيمة الطبيعية لهذه الخاصية هي: غير متاح Disabled.
Switch to the secure desktop when prompting for elevation
كما تلاحظ عند ظهور رسالة Elevation يتم إيقاف جميع البرامج في الخلفية ولا يمكنك التعامل معها حتى تنفذ الرسالة أولا. فهذا الاختيار يحدد هل يتم إيقاف الاستخدام لجميع البرامج أثناء ظهور الرسالة أو بمعنى آخر هل يتم الانتقال إلى سطح المكتب الآمن Secure Desktop أو لا.
عند إلغاء هذا الاختيار لن يتم استخدام خاصية سطح المكتب الآن Secure Desktop وحينها سوف يتعامل النظام مع الرسالة كأي رسالة أخرى فلن يتم إيقاف النظام أو أي برنامج أثناء ظهورها.
القيمة الطبيعية لهذه الخاصية هي: متاح Enabled.
Virtualizes file and registry write failures to per-user locations
عمل عملية محاكاة Virtualization عند محاولة البرامج -بدون عملية Elevation- الوصول إلى أماكن غير مسموح بيها مثلا الـ Registry فيقوم النظام تلقائيا بتحويل البرنامج إلى مكان يمكنه الكتابة فيه.
جميع ما في القرص Drive المنصب عليه نظام التشغيل هو من الأماكن الغير مسموح بالكتابة فيها بدون عملية الـ Elevation باستثناء المستندات My Documents وسطح المكتب Desktop والمجلد الذي يحوي البرنامج.
سوف نعرف أكثر عن تأثير خدمة UAC وعملية المحاكاة Virtualization في القسم القادم.
how to change user access denied with requesting admin privilege
تأمين UAC uac group policy server
تعتمد هذه الخدمة على المستخدمين الذين يملكون صلاحيات المدير Administrator وتقوم هذه الخدمة عن طريق منع جميع المستخدمين بما فيهم المديرين Admins من القيام بأعمال معينة (مثل تنصيب البرامج وتغيير إعدادات النظام) حتى تتم الموافقة عن طريق عرض رسالة صغيرة تفيد بأن هذا العمل قد يخرب الجهاز أو قد يؤثر على المستخدمين الآخرين. فإذا كان هذا المستخدم مدير Admin فإن الرسالة تسأله فقط عن الموافقة. أما إذا كان هذا المستخدم غير مدير فإن الرسالة تسأله عن اسم مستخدم وكلمة مرور لأحد المستخدمين المديرين أو سوف يتم إلغاء العملية. وتسمى هذا الرسالة أو هذه العملية رفع Elevation لأنها تقوم بإعطاء المستخدم الصلاحيات الكافية التي ربما تكون أعلى من صلاحياته إذا كان غير مدير للقيام بالمهمة المطلوبة. وهذه الرسالة تكون مشابهة للشكل التالي:
https://www.rise.company/upload/uploads/155881999865181.jpg
نلاحظ أن الويندوز يختار شكل درع علامة على أن هذا البرنامج أو هذا الأمر يحتاج إلى Elevation
التحكم المتقدم في UAC
أولا سوف ننتقل إلى شاشة التحكم في UAC وهي عن طريق Control Panel -> Administrative Tools -> Local Security Policies أو عن طريق Start -> Run -> secpol.msc. بعد ظهور شاشة التحكم في سياسات التأمين الخاصة بالنظام Local Security Policies، من اليسار قم بالذهاب إلى السياسات المحلية Local Policies ثم إلى خيارات التأمين Security Options لتظهر لك على اليمين قائمة بخيارات التأمين الخاصة بهذه المجموعة. لاحظ الشكل التالي.
والآن سوف نتعرض لكل اختيار على حدة من خيارات UAC أو User Access Control على حدة.
Admin Approval Mode for Built-in Administrator account
هذا الاختيار يحدد هل تطبق خدمة UAC أو بالأصح عملية Elevation أو كما تسمى نظام موافقة المدير Admin Approval Mode على المستخدم المسمى Administrator الخاص بالويندوز أم لا. ومعنى هذا هو إظهار رسائل الـ Elevation أو لا.
لاحظ الفرق بين صلاحيات المدير Administrator Privileges وبين المستخدم المسمى Administrator والذي يملك أيضا نفس الصلاحيات.
القيمة الطبيعية لهذه الخاصية هي: غير متاح Disabled
Behavior of the elevation prompt for administrators in Admin Approval Mode
هذا الاختيار يحدد السلوك الذي تتخذه خدمة UAC إذا كانت في وضع الاستخدام بالنسبة للمستخدمين ذوي صلاحيات المدير Administrator. ونقصد بالسلوك هو نوع الرسالة التي ستظهر أو هل سيتم إظهار رسالة أم لا.
وهذا الاختيار له ثلاثة أوضاع:
السؤال عن الموافقة Prompt for consent (الطبيعي):
رسالة صغيرة تسأل المستخدم عن موافقته Consent أو لا.
السؤال عن الاعتمادات Prompt for credentials:
رسالة تسأل المستخدم عن كلمة مروره.
الرفع من غير السؤال Elevate without prompting:
يتم تطبيق عملية الرفع Elevation بدون إظهار أي رسائل.
الأشكال التالية توضح نوعي الرسالة رسالة الموافقة Consent ورسالة بيانات الدخول Credentials.
https://www.rise.company/forum/images/imported/2019/05/40.jpg
رسالة الموافقة Prompt for Consent
https://www.rise.company/forum/images/imported/2019/05/23.png
رسالة الاعتمادات Prompt for Credentials
Behavior of the elevation prompt for standard users
هذا الاختيار يحدد السلوك الذي تتخذه خدمة UAC إذا كانت في وضع الاستخدام بالنسبة للمستخدمين الذين لا يملكون صلاحيات المدير Administrator.
وهذا الاختيار له وضعين:
السؤال عن الاعتمادات Prompt for credentials (الطبيعي):
تظهر رسالة تسأل المستخدم عن اسم المستخدم وكلمة المرور لأي مستخدم آخر له صلاحيات المدير Administrator.
رفض العملية بدون إظهار رسائل Automatically deny elevation requests (الطبيعي للإصدارا من نوع Enterprise):
لن يتم إظهار رسائل وسوف يتم رفض العملية وإلغاؤها.
Detect application installations and prompt for elevation
يحدد هذا الاختيار ما إذا كانت خدمة UAC تقوم بالكشف عن ما إذا كان هذا الملف يقوم بتنصيب برنامج أم لا. وحينئذ إذا كان الملف هو ملف تنصيب تقوم بإظهار رسالة Elevation أو حتى الموافقة تلقائيا حسب الاختيارات الأخرى.
في حالة إلغاء هذه الخدمة فإن ملفات التنصيب هذه سوف تعمل كأي ملفات أخرى، بمعنى أنها سوف تحاول تنصيب البرنامج بدون عملية Elevation وحينئذ سوف تفشل تلقائيا مالم تقوم أنت بعمل عملية Elevation عن طريق مثلا الضغط بزر الفأرة الأيمن على الملف واختيار Run as Administrator.
القيمة الطبيعية لهذه الخاصية هي: متاح Enabled، أو غير متاح Disabled للإصدارات Enterprise.
Only elevate executables that are signed and validated
إذا قمت بتحديد هذا الاختيار لن يتم السؤال عن الموافقة إلا مع البرامج التي لها شهادات موثوقة مثل برامج Microsoft و Adobe والشركات المعروفة. أما ما عدا هذا فسوف يتم الرفض تلقائيا.
القيمة الطبيعية لهذه الخاصية هي: غير متاح Disabled.
Only elevate UIAccess applications that are installed in secure locations
اختيار متقدم. يحدد ما إذا كانت البرامج التي تطلب صلاحيات الوصول إلى واجهة النظام UIAccess سوف يتم الموافقة عليها تلقائيا إذا كانت في مكان آمن مثلا Program Files أو لا.
سوف نعرف ما هي صلاحيات UIAccess أثناء تعاملنا مع الكود.
القيمة الطبيعية لهذه الخاصية هي: متاح Enabled.
Run all administrators in Admin Approval Mode
يحدد هذا الاختيار ما إذا كانت عملية Elevation سوف تتم تلقائيا مع جميع المستخدمين ذوي صلاحيات المدير Administrator أم لا.
في حالة تحديد هذا الاختيار لن يتم سؤال المستخدمين ذوي صلاحيات المدير Administrator على Elevation وسوف تتم هذه العملية والسماح لهم تلقائيا. أما في حالة إلغاء هذا الاختيار فسوف يتم عمل عملية Elevation تلقائيا. أما المستخدمين الذين لا يملكون صلاحيات المدير Administrator لن يتم سؤالهم وسوف يتم الرفض تلقائيا.
هذا الاختيار هو بمثابة إلغاء هذه الخدمة تماما أو تشغليها.
القيمة الطبيعية لهذه الخاصية هي: غير متاح Disabled.
Switch to the secure desktop when prompting for elevation
كما تلاحظ عند ظهور رسالة Elevation يتم إيقاف جميع البرامج في الخلفية ولا يمكنك التعامل معها حتى تنفذ الرسالة أولا. فهذا الاختيار يحدد هل يتم إيقاف الاستخدام لجميع البرامج أثناء ظهور الرسالة أو بمعنى آخر هل يتم الانتقال إلى سطح المكتب الآمن Secure Desktop أو لا.
عند إلغاء هذا الاختيار لن يتم استخدام خاصية سطح المكتب الآن Secure Desktop وحينها سوف يتعامل النظام مع الرسالة كأي رسالة أخرى فلن يتم إيقاف النظام أو أي برنامج أثناء ظهورها.
القيمة الطبيعية لهذه الخاصية هي: متاح Enabled.
Virtualizes file and registry write failures to per-user locations
عمل عملية محاكاة Virtualization عند محاولة البرامج -بدون عملية Elevation- الوصول إلى أماكن غير مسموح بيها مثلا الـ Registry فيقوم النظام تلقائيا بتحويل البرنامج إلى مكان يمكنه الكتابة فيه.
جميع ما في القرص Drive المنصب عليه نظام التشغيل هو من الأماكن الغير مسموح بالكتابة فيها بدون عملية الـ Elevation باستثناء المستندات My Documents وسطح المكتب Desktop والمجلد الذي يحوي البرنامج.
سوف نعرف أكثر عن تأثير خدمة UAC وعملية المحاكاة Virtualization في القسم القادم.