Confesso che per certi versi è imbarazzante doverlo confessare perchè, fino a pochi minuti fà, ritenevo che le cose funzionassero diversamente ma mi sono imbattuto in quello che, allo stato, chiamo "fenomeno" e che vorrei condividere con voi in attesa di un qualche input.

Quello quindi che credevo:
che le impostazioni dell'UAC si riflettessero sulla macchina indipendentemente dall'appartenenza al gruppo dell'utente.

Quello che invece scopro è che i settaggi sembrerebbero riverberarsi esclusivamente sull'utente attivo.
In altre parole, c'è sensibilità all'appartenenza al gruppo...


La mia "simulazione".

In VM ho creato 2 utenti, il 1° amministratore creato in via automatica durante il processo di SetUp, il 2° un semplice utente standard.

Loggato quindi come amministratore (ridotto), ho spostato la linguetta dell'UAC sul suo valore massimo, modifica che evidentemente ha interessato anche l'utente standard.

Ora, la parte curiosa.

Indipendentemente dall'utente considerato, spostando la linguetta dell'UAC sul suo valore di default questa viene "memorizzata" solo per l'utente che opera la modifica in questione mentre l'altro, apparentemente, è insensibile alla variazione operata.

Apparentemente perchè in realtà ci sono aspetti che mi rimangono nebulosi, ad es:
la voce ConsentPromptBehaviourAdmin è collegata al valore 5 con UAC a default e assume il valore 2 con l'UAC al massimo.

Operando lo switch di cui parlavo (riportare l'UAC da max @ default), il valore ritorna a quello originario (5, default) per entrambi gli utenti in linea con le aspettative, ma nonostante ciò le linguette risultano impostate su livelli diversi a seconda dell'appartenenza al gruppo...


Ve lo faccio vedere con un video che vale più di 1000 parole,

http://www.yourfilelink.com/get.php?fid=865045

E' evidente, e qui concludo, che sono confuso.

Stiamo parlando della chiave HKEY_LOCAL_MACHINE che non ha modifiche per utenti ma modifiche globali che interessano tutta la macchina

La chiave ConsentPromptBehaviourAdmin ha cinque valori:

0x0 --> Consente di eseguire operazioni che richiedono privilegi elevati senza il consenso o eventuali credenziali di autenticazione
0x1 --> Richiedi credenziali sul desktop sicuro, inserire username e password per eseguire operazioni con privilegi elevati
0x2 --> Richiedi consenso sul desktop sicuro senza richiesta di autenticazione, accetta o nega
0x3 --> Richiedi credenziali, username e password
0x4 --> Richiedi consenso, accetta o nega
0x5 --> Richiedi consenso per file binari non-Windows ( default )

Ulteriori informazioni --> http://technet.microsoft.com/en-us/library/dd851609.aspx

Quando dall'utente limitato-standard vai a modificare il comportamento del prompt UAC non modifichi la chiave ConsentPromptBehaviourAdmin ma ConsentPromptBehaviorUser che ha solo tre valori:

0x0 --> Nega automaticamente le richieste di elevazione
0x1 --> Richiedi credenziali
0x3 --> Richiedi credenziali sul desktop sicuro ( default )

Ulteriori informazioni --> http://technet.microsoft.com/en-us/library/dd851602.aspx

Per questo motivo le modifiche che fai nell'account admin non hanno effetto su quello standard e viceversa perché le chiavi che lo gestiscono sono diverse, quindi anche la "linguetta" tra i due gruppi-account si trova in posizioni diverse perché ognuno legge una chiave diversa.
Se avessi due account amministratore e/o due account standard avresti le stesse impostazioni per entrambi

c'ho ragionato ma di fatto non ho capito niente :muro:.
(a breve un nuovo intervento)...

Si, la chiave è HKLM quindi, come fai giustamente notare, le modifiche si riflettono su tutta la macchina.

E io, dunque, se apporto una modifica alla linguetta del livello dell'UAC non vado a modificare sempre la chiave HKLM\...\ConsentPromptBehaviourAdmin indipendentemente da quello che è l'appartenenza dell'utente loggato??

Che c'entra il HKLM\...\ConsentPromptBehaviourUser che, infatti, resta sempre al suo valore di default? (3, o Prompt for credentials on the secure desktop)


In entrambi i casi, infatti, in HKLM ho
ConsentPromptBehaviourAdmin 5
ConsentPromptBehaviourUser 3

....

Una mazza, non ci stò capendo più nulla...

potrei anche dire:

come si modifica il valore della chiave HKLM\...\ConsentPromptBehaviourUser se non intervenendo direttamente sul registro???


http://technet.microsoft.com/en-us/library/dd835564(v=ws.10).aspx

La chiave ConsentPromptBehaviourAdmin si riflette solo per gli utenti appartenenti a quel gruppo quindi non viene modificata da appartenenti a gruppi diversi, come quelli standard che hanno una propria chiave.
Se vuoi fare una prova modifica il livello dell'UAC dall'utente standard ( sono solo due possibilità, default e massimo ) e apri il registro, vedrai che il valore che cambia é ConsentPromptBehaviourUser.

in effetti quello che dici è logico ma non trova conforto nelle mie prove.

ConsentPromptBehaviourAdmin varia regolarmente il suo valore da 5 (default) a 2 (max) e viceversa, ConsentPromptBehaviourUser resta fisso a 3 anche ripristinando il livello dell'UAC a default dall'account standard.

:(

Guarda:
http://i40.tinypic.com/2r2q72o.jpg

http://i43.tinypic.com/11qpirm.jpg

X_, al di la del tuo ultimo post, ti ringrazio per l'aiuto che mi hai dato e che mi ha permesso di capire (comprese le minchiate di cui ho cosparso il thread).

Non c'è nessun fenomeno, ed è normale che le impostazioni dell'UAC siano settabili per-utente (o per appartenenza al gruppo).


L'errore di fondo che ho commesso, infatti, è che intervengo sulla linguetta dell'UAC spostandola al suo livello massimo in fase di prima installazione, quindi dall'account amministratore di default e poi chiuso.

Passando all'account standard, allora, la linguetta la trovavo al suo valore massimo (= Prompt for credentials on the secure desktop) ritenendo erroneamente che questo settaggio fosse figlio della precedente alterazione e invece non è cosi' visto che quello è cmq il settaggio di default per l'utente normale (standard).


Se mi è permesso, l'unica cosa che potrebbe essere interessante indagare ancora è il motivo per cui (su 8.1 in VM, almeno), il valore della chiave di registro HKLM\...\ConsentPromptBehaviourUser rimane fissa a 3 anche rilassando il settaggio via linguetta (non c'è reboot che sortisca effetti) mentre ripristinando il valore di default (linguetta a palla), allora effettivamente il valore passa ad 1!! :confused:...

ma 1 non dovrebbe essere il prompt SENZA il secure desktop??

Insomma, sui valori delle chiavi c'è ancora un pò di confusione...

Se qualcuno dovesse leggere, gli fornisco quelli che sono i valori di default tanto per l'utente amministratore ridotto creato in fase di SetUp che per l'utente Standard cosi' da evitare confusione (meglio anzi se non leggete questo thread)

Amministratore (ridotto) creato in fase di prima installazione collegato al livello di default dell'UAC
http://s16.postimg.org/62fwx8q81/image.jpg (http://postimg.org/image/62fwx8q81/)

Utente Standard
http://s9.postimg.org/ptusf48ij/image.jpg (http://postimg.org/image/ptusf48ij/)

[...] l'unica cosa che potrebbe essere interessante indagare ancora è il motivo per cui (su 8.1 in VM, almeno), il valore della chiave di registro HKLM\...\ConsentPromptBehaviourUser rimane fissa a 3 anche rilassando il settaggio via linguetta (non c'è reboot che sortisca effetti) mentre ripristinando il valore di default (linguetta a palla), allora effettivamente il valore passa ad 1!! :confused:...

ma 1 non dovrebbe essere il prompt SENZA il secure desktop??

Insomma, sui valori delle chiavi c'è ancora un pò di confusione...

Guarda, eh:
tutto fatto sotto account standard...

http://www.yourfilelink.com/get.php?fid=865238


Dimenticavo:
la Password dell'account Amministratore nel video in VM è 123...e dell'utente standard 1 :sofico:, si capiva?? :D

Figurati, prego. Confermo nuovamente che il valore 1 é il prompt senza secure desktop:

This option SHOULD be set to ensure that a standard user that needs to perform an operation that requires elevation of privilege will be prompted for an administrative user name and password. If the user enters valid credentials, the operation will continue with the applicable privilege


MSDN-Technet non é sempre chiaro al 100%, la pagina relativa ai valori delle chiavi disponibili ( che non ti ho postato per evitare di confondere ) per la chiave _User riporta solo due valori, zero e uno quando i valori sono tre e per la chiave _Admin solo tre su cinque, non é aggiornata dai tempi di Vista.