Sobald ich dem IE die Administratoren-Gruppe wegnehme, schließt er sich immer sofort wieder.
Delphi-Quellcode:
lSIDs.Add(JwAdministratorsSID);
lRestrictedToken := TJwSecurityToken.CreateRestrictedToken(lToken.TokenHandle, TOKEN_ALL_ACCESS, DISABLE_MAX_PRIVILEGE, lSIDs, nil, nil);
Ich deaktiviere nur diese eine SID und stelle das
IL nicht um. Auch ein explizites Setzen auf itlMedium bringt nichts.
Kann es sein, dass der IE für irgendwas eine Nutzergruppe an seinem
access token braucht?
Hätte ich die SID einer Nutzergruppe mit eingeschränkten Rechten, könnte ich die dann meinem Token hinzufügen?
Setze ich das
IL auf Low und lasse dem IE die Admingruppe, darf er gar nichts und startet normal. Das kann man wohl als Notlösung sehen.
Edit:
Anscheinend kann ich mit dem RestrictedToken C:\Programme nur lesen, nicht schreiben aber auch nicht ausführen.
Habe mir mit dem RestrictedToken cmd.exe gestartet. Da bekomme ich beim Versuch eine beliebige Anwendung unterhalb von C:\Programme zu starten die Meldung "Zugriff verweigert". Paint u.ä. geht nur weil es in C:\Windows liegt.
Wie bekomme ich jetzt am besten ein Token ohne Adminrechte, dass in C:\Programme Anwendungen ausführen darf?
Ich deaktiviere bisher nur die AdminsSID. Auf DISABLE_MAX_PRIVILEGE habe ich auch verzichet, so dass keine Privilegien entfernt werden.