In primul articol publicat s-a presupus ca afecteaza doar Windows 7 (mai multe detalii aici).

Astazi au revenit cu un FAQ (mai multe detalii aici), in care se precizeaza ca afecteaza toate sistemele de operare (incepand cu Windows XP si terminand cu Windows 2008 R2) atat pe 32 biti cat si pe 64 de biti.

Nu vreau sa va rapesc placerea de a citi un articol detaliat care contine un posibil workaround dar si o demonstratie video. Linkul poate fi accesat aici.

Happy reading!

Intr-un articol precedent am discutat despre UAC si ce se intampla cand accesezi un sistem remove via file sharing. Acum o sa luam cazul in care incercam sa rulam un script care culege informatii prin WMI de pe un sistem remote.

In mare principiul este acelasi. Daca userul e admin local si este user de domeniu atunci UAC nu il filtreaza. Daca este user local (indiferent ca statia e in domeniu sau nu) atunci UAC intervine si rezultatele interogarilor WMI e posibil sa fie incomplete sau sa nu mearga deloc.

Deci workaround-urile ar fi sa oprim UAC (nerecomandat), sa folosim un cont de domeniu, sa activam LocalAccountTokenFilterPolicy din registry, sau sa folosim un cont local (nu admin) cu permisiuni peste namespaceurile WMI.

Detalii pot fi gasite aici:

http://msdn.microsoft.com/en-us/library/aa826699(VS.85).aspx

http://msdn.microsoft.com/en-us/library/aa822575(VS.85).aspx

User Account Control sau UAC este un mecanism introdus in Windows incepand cu Vista. Cam toate discutiile ce tin de UAC se refera la operatiunile efectuate de la consola sistemului.

Dar ce se intampla atunci cand ma conectez remote (in cazul nostru via File Sharing) la un sistem ce ruleaza Vista sau Windows 7 si vreau sa accesez share-urile administrative (C$, D$). Grea intrebare. Hai totusi sa o lamurim. Exista 2 variante de raspuns, care depind de urmatorul factor: statia (pe care o accesam) e joinata la domeniu sau nu.

Cazul 1: statia nu e joinata la domeniu.

- voi fi intrebat de credentiale, si chiar daca introduc credentialele unui user cu drept de admin pe statia respectiva o sa primesc un Access Denied. Mai exact, daca userul este un user local, atunci nu va fi elevat si nu se va conecta cu drepturi de administrator.

Acest comportament poate fi modificat prin adaugarea cheii LocalAccountTokenFilterPolicy (DWORD) in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system cu valoarea 1. Nu este nevoie de reboot.

Cazul 2: statia este joinata la un domeniu Active Directory.

- daca incerc sa ma autentific cu un user local de pe statie comportamentul e la fel ca si in cazul 1.

- daca folosesc un user din domeniu cu drept de admin pe statie atunci userul primeste token cu drepturi full de administrator si va putea accesa shareurile administrative

Tineti apasat CTRL+SHIFT si click pe executabilul dorit. Merge si cu Enter, insa mi se pare cam peste mana.

Problema e ca nu merge chiar asa cum se zice pe net. Mie mi-a mers doar pentru aplicatiile puse in prima pagina pe Start menu, sau pentru cele returnate in urma unui search. Daca incerc sa rulez aplicatia din alt loc nu merge.