[8.1] UAC: settaggi per-utente??

nV 25 · 17-12-2013, 14:45

Confesso che per certi versi è imbarazzante doverlo confessare perchè, fino a pochi minuti fà, ritenevo che le cose funzionassero diversamente ma mi sono imbattuto in quello che, allo stato, chiamo "fenomeno" e che vorrei condividere con voi in attesa di un qualche input.

Quello quindi che credevo:
che le impostazioni dell'UAC si riflettessero sulla macchina indipendentemente dall'appartenenza al gruppo dell'utente.

Quello che invece scopro è che i settaggi sembrerebbero riverberarsi esclusivamente sull'utente attivo.
In altre parole, c'è sensibilità all'appartenenza al gruppo...

La mia "simulazione".

In VM ho creato 2 utenti, il 1° amministratore creato in via automatica durante il processo di SetUp, il 2° un semplice utente standard.

Loggato quindi come amministratore (ridotto), ho spostato la linguetta dell'UAC sul suo valore massimo, modifica che evidentemente ha interessato anche l'utente standard.

Ora, la parte curiosa.

Indipendentemente dall'utente considerato, spostando la linguetta dell'UAC sul suo valore di default questa viene "memorizzata" solo per l'utente che opera la modifica in questione mentre l'altro, apparentemente, è insensibile alla variazione operata.

Apparentemente perchè in realtà ci sono aspetti che mi rimangono nebulosi, ad es:
la voce ConsentPromptBehaviourAdmin è collegata al valore 5 con UAC a default e assume il valore 2 con l'UAC al massimo.

Operando lo switch di cui parlavo (riportare l'UAC da max @ default), il valore ritorna a quello originario (5, default) per entrambi gli utenti in linea con le aspettative, ma nonostante ciò le linguette risultano impostate su livelli diversi a seconda dell'appartenenza al gruppo...

Ve lo faccio vedere con un video che vale più di 1000 parole,

http://www.yourfilelink.com/get.php?fid=865045

E' evidente, e qui concludo, che sono confuso.

x_Master_x · 17-12-2013, 15:32

Stiamo parlando della chiave HKEY_LOCAL_MACHINE che non ha modifiche per utenti ma modifiche globali che interessano tutta la macchina

La chiave ConsentPromptBehaviourAdmin ha cinque valori:

0x0 --> Consente di eseguire operazioni che richiedono privilegi elevati senza il consenso o eventuali credenziali di autenticazione
0x1 --> Richiedi credenziali sul desktop sicuro, inserire username e password per eseguire operazioni con privilegi elevati
0x2 --> Richiedi consenso sul desktop sicuro senza richiesta di autenticazione, accetta o nega
0x3 --> Richiedi credenziali, username e password
0x4 --> Richiedi consenso, accetta o nega
0x5 --> Richiedi consenso per file binari non-Windows ( default )

Ulteriori informazioni --> http://technet.microsoft.com/en-us/l.../dd851609.aspx

Quando dall'utente limitato-standard vai a modificare il comportamento del prompt UAC non modifichi la chiave ConsentPromptBehaviourAdmin ma ConsentPromptBehaviorUser che ha solo tre valori:

0x0 --> Nega automaticamente le richieste di elevazione
0x1 --> Richiedi credenziali
0x3 --> Richiedi credenziali sul desktop sicuro ( default )

Ulteriori informazioni --> http://technet.microsoft.com/en-us/l.../dd851602.aspx

Per questo motivo le modifiche che fai nell'account admin non hanno effetto su quello standard e viceversa perché le chiavi che lo gestiscono sono diverse, quindi anche la "linguetta" tra i due gruppi-account si trova in posizioni diverse perché ognuno legge una chiave diversa.
Se avessi due account amministratore e/o due account standard avresti le stesse impostazioni per entrambi

nV 25 · 17-12-2013, 17:06

c'ho ragionato ma di fatto non ho capito niente

.
(a breve un nuovo intervento)...

nV 25 · 17-12-2013, 17:16

Si, la chiave è HKLM quindi, come fai giustamente notare, le modifiche si riflettono su tutta la macchina.

E io, dunque, se apporto una modifica alla linguetta del livello dell'UAC non vado a modificare sempre la chiave HKLM\...\ConsentPromptBehaviourAdmin indipendentemente da quello che è l'appartenenza dell'utente loggato??

Che c'entra il HKLM\...\ConsentPromptBehaviourUser che, infatti, resta sempre al suo valore di default? (3, o Prompt for credentials on the secure desktop)

In entrambi i casi, infatti, in HKLM ho
ConsentPromptBehaviourAdmin 5
ConsentPromptBehaviourUser 3

....

Una mazza, non ci stò capendo più nulla...

nV 25 · 17-12-2013, 17:19

potrei anche dire:

come si modifica il valore della chiave HKLM\...\ConsentPromptBehaviourUser se non intervenendo direttamente sul registro???

http://technet.microsoft.com/en-us/l...(v=ws.10).aspx

x_Master_x · 17-12-2013, 17:31

La chiave ConsentPromptBehaviourAdmin si riflette solo per gli utenti appartenenti a quel gruppo quindi non viene modificata da appartenenti a gruppi diversi, come quelli standard che hanno una propria chiave.
Se vuoi fare una prova modifica il livello dell'UAC dall'utente standard ( sono solo due possibilità, default e massimo ) e apri il registro, vedrai che il valore che cambia é ConsentPromptBehaviourUser.

nV 25 · 17-12-2013, 18:27

in effetti quello che dici è logico ma non trova conforto nelle mie prove.

ConsentPromptBehaviourAdmin varia regolarmente il suo valore da 5 (default) a 2 (max) e viceversa, ConsentPromptBehaviourUser resta fisso a 3 anche ripristinando il livello dell'UAC a default dall'account standard.

x_Master_x · 18-12-2013, 08:33

Guarda:

nV 25 · 18-12-2013, 19:06

X_, al di la del tuo ultimo post, ti ringrazio per l'aiuto che mi hai dato e che mi ha permesso di capire (comprese le minchiate di cui ho cosparso il thread).

Non c'è nessun fenomeno, ed è normale che le impostazioni dell'UAC siano settabili per-utente (o per appartenenza al gruppo).

L'errore di fondo che ho commesso, infatti, è che intervengo sulla linguetta dell'UAC spostandola al suo livello massimo in fase di prima installazione, quindi dall'account amministratore di default e poi chiuso.

Passando all'account standard, allora, la linguetta la trovavo al suo valore massimo (= Prompt for credentials on the secure desktop) ritenendo erroneamente che questo settaggio fosse figlio della precedente alterazione e invece non è cosi' visto che quello è cmq il settaggio di default per l'utente normale (standard).

Se mi è permesso, l'unica cosa che potrebbe essere interessante indagare ancora è il motivo per cui (su 8.1 in VM, almeno), il valore della chiave di registro HKLM\...\ConsentPromptBehaviourUser rimane fissa a 3 anche rilassando il settaggio via linguetta (non c'è reboot che sortisca effetti) mentre ripristinando il valore di default (linguetta a palla), allora effettivamente il valore passa ad 1!!

...

ma 1 non dovrebbe essere il prompt SENZA il secure desktop??

Insomma, sui valori delle chiavi c'è ancora un pò di confusione...

nV 25 · 18-12-2013, 19:16

Se qualcuno dovesse leggere, gli fornisco quelli che sono i valori di default tanto per l'utente amministratore ridotto creato in fase di SetUp che per l'utente Standard cosi' da evitare confusione (meglio anzi se non leggete questo thread)

Amministratore (ridotto) creato in fase di prima installazione collegato al livello di default dell'UAC

Utente Standard

nV 25 · 18-12-2013, 19:34

Quote:

Originariamente inviato da nV 25

[...] l'unica cosa che potrebbe essere interessante indagare ancora è il motivo per cui (su 8.1 in VM, almeno), il valore della chiave di registro HKLM\...\ConsentPromptBehaviourUser rimane fissa a 3 anche rilassando il settaggio via linguetta (non c'è reboot che sortisca effetti) mentre ripristinando il valore di default (linguetta a palla), allora effettivamente il valore passa ad 1!!

...

ma 1 non dovrebbe essere il prompt SENZA il secure desktop??

Insomma, sui valori delle chiavi c'è ancora un pò di confusione...

Guarda, eh:
tutto fatto sotto account standard...

http://www.yourfilelink.com/get.php?fid=865238

Dimenticavo:
la Password dell'account Amministratore nel video in VM è 123...e dell'utente standard 1

, si capiva??

x_Master_x · 18-12-2013, 21:48

Figurati, prego. Confermo nuovamente che il valore 1 é il prompt senza secure desktop:

Quote:

Originariamente inviato da MSDN

This option SHOULD be set to ensure that a standard user that needs to perform an operation that requires elevation of privilege will be prompted for an administrative user name and password. If the user enters valid credentials, the operation will continue with the applicable privilege

MSDN-Technet non é sempre chiaro al 100%, la pagina relativa ai valori delle chiavi disponibili ( che non ti ho postato per evitare di confondere ) per la chiave _User riporta solo due valori, zero e uno quando i valori sono tre e per la chiave _Admin solo tre su cinque, non é aggiornata dai tempi di Vista.

17-12-2013, 14:45	#1
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	[8.1] UAC: settaggi per-utente?? Confesso che per certi versi è imbarazzante doverlo confessare perchè, fino a pochi minuti fà, ritenevo che le cose funzionassero diversamente ma mi sono imbattuto in quello che, allo stato, chiamo "fenomeno" e che vorrei condividere con voi in attesa di un qualche input. Quello quindi che credevo: che le impostazioni dell'UAC si riflettessero sulla macchina indipendentemente dall'appartenenza al gruppo dell'utente. Quello che invece scopro è che i settaggi sembrerebbero riverberarsi esclusivamente sull'utente attivo. In altre parole, c'è sensibilità all'appartenenza al gruppo... La mia "simulazione". In VM ho creato 2 utenti, il 1° amministratore creato in via automatica durante il processo di SetUp, il 2° un semplice utente standard. Loggato quindi come amministratore (ridotto), ho spostato la linguetta dell'UAC sul suo valore massimo, modifica che evidentemente ha interessato anche l'utente standard. Ora, la parte curiosa. Indipendentemente dall'utente considerato, spostando la linguetta dell'UAC sul suo valore di default questa viene "memorizzata" solo per l'utente che opera la modifica in questione mentre l'altro, apparentemente, è insensibile alla variazione operata. Apparentemente perchè in realtà ci sono aspetti che mi rimangono nebulosi, ad es: la voce ConsentPromptBehaviourAdmin è collegata al valore 5 con UAC a default e assume il valore 2 con l'UAC al massimo. Operando lo switch di cui parlavo (riportare l'UAC da max @ default), il valore ritorna a quello originario (5, default) per entrambi gli utenti in linea con le aspettative, ma nonostante ciò le linguette risultano impostate su livelli diversi a seconda dell'appartenenza al gruppo... Ve lo faccio vedere con un video che vale più di 1000 parole, http://www.yourfilelink.com/get.php?fid=865045 E' evidente, e qui concludo, che sono confuso.

17-12-2013, 15:32	#2
x_Master_x Senior Member Iscritto dal: May 2005 Messaggi: 8697	Stiamo parlando della chiave HKEY_LOCAL_MACHINE che non ha modifiche per utenti ma modifiche globali che interessano tutta la macchina La chiave ConsentPromptBehaviourAdmin ha cinque valori: 0x0 --> Consente di eseguire operazioni che richiedono privilegi elevati senza il consenso o eventuali credenziali di autenticazione 0x1 --> Richiedi credenziali sul desktop sicuro, inserire username e password per eseguire operazioni con privilegi elevati 0x2 --> Richiedi consenso sul desktop sicuro senza richiesta di autenticazione, accetta o nega 0x3 --> Richiedi credenziali, username e password 0x4 --> Richiedi consenso, accetta o nega 0x5 --> Richiedi consenso per file binari non-Windows ( default ) Ulteriori informazioni --> http://technet.microsoft.com/en-us/l.../dd851609.aspx Quando dall'utente limitato-standard vai a modificare il comportamento del prompt UAC non modifichi la chiave ConsentPromptBehaviourAdmin ma ConsentPromptBehaviorUser che ha solo tre valori: 0x0 --> Nega automaticamente le richieste di elevazione 0x1 --> Richiedi credenziali 0x3 --> Richiedi credenziali sul desktop sicuro ( default ) Ulteriori informazioni --> http://technet.microsoft.com/en-us/l.../dd851602.aspx Per questo motivo le modifiche che fai nell'account admin non hanno effetto su quello standard e viceversa perché le chiavi che lo gestiscono sono diverse, quindi anche la "linguetta" tra i due gruppi-account si trova in posizioni diverse perché ognuno legge una chiave diversa. Se avessi due account amministratore e/o due account standard avresti le stesse impostazioni per entrambi __________________ . Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . Ultima modifica di x_Master_x : 17-12-2013 alle 17:32.

17-12-2013, 17:31	#6
x_Master_x Senior Member Iscritto dal: May 2005 Messaggi: 8697	La chiave ConsentPromptBehaviourAdmin si riflette solo per gli utenti appartenenti a quel gruppo quindi non viene modificata da appartenenti a gruppi diversi, come quelli standard che hanno una propria chiave. Se vuoi fare una prova modifica il livello dell'UAC dall'utente standard ( sono solo due possibilità, default e massimo ) e apri il registro, vedrai che il valore che cambia é ConsentPromptBehaviourUser. __________________ . Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend .

18-12-2013, 08:33	#8
x_Master_x Senior Member Iscritto dal: May 2005 Messaggi: 8697	Guarda: __________________ . Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend .

17-12-2013, 17:06	#3
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	c'ho ragionato ma di fatto non ho capito niente . (a breve un nuovo intervento)...

17-12-2013, 17:16	#4
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	Si, la chiave è HKLM quindi, come fai giustamente notare, le modifiche si riflettono su tutta la macchina. E io, dunque, se apporto una modifica alla linguetta del livello dell'UAC non vado a modificare sempre la chiave HKLM\...\ConsentPromptBehaviourAdmin indipendentemente da quello che è l'appartenenza dell'utente loggato?? Che c'entra il HKLM\...\ConsentPromptBehaviourUser che, infatti, resta sempre al suo valore di default? (3, o Prompt for credentials on the secure desktop) In entrambi i casi, infatti, in HKLM ho ConsentPromptBehaviourAdmin 5 ConsentPromptBehaviourUser 3 .... Una mazza, non ci stò capendo più nulla...

17-12-2013, 17:19	#5
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	potrei anche dire: come si modifica il valore della chiave HKLM\...\ConsentPromptBehaviourUser se non intervenendo direttamente sul registro??? http://technet.microsoft.com/en-us/l...(v=ws.10).aspx

17-12-2013, 18:27	#7
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	in effetti quello che dici è logico ma non trova conforto nelle mie prove. ConsentPromptBehaviourAdmin varia regolarmente il suo valore da 5 (default) a 2 (max) e viceversa, ConsentPromptBehaviourUser resta fisso a 3 anche ripristinando il livello dell'UAC a default dall'account standard.

18-12-2013, 19:06	#9
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	X_, al di la del tuo ultimo post, ti ringrazio per l'aiuto che mi hai dato e che mi ha permesso di capire (comprese le minchiate di cui ho cosparso il thread). Non c'è nessun fenomeno, ed è normale che le impostazioni dell'UAC siano settabili per-utente (o per appartenenza al gruppo). L'errore di fondo che ho commesso, infatti, è che intervengo sulla linguetta dell'UAC spostandola al suo livello massimo in fase di prima installazione, quindi dall'account amministratore di default e poi chiuso. Passando all'account standard, allora, la linguetta la trovavo al suo valore massimo (= Prompt for credentials on the secure desktop) ritenendo erroneamente che questo settaggio fosse figlio della precedente alterazione e invece non è cosi' visto che quello è cmq il settaggio di default per l'utente normale (standard). Se mi è permesso, l'unica cosa che potrebbe essere interessante indagare ancora è il motivo per cui (su 8.1 in VM, almeno), il valore della chiave di registro HKLM\...\ConsentPromptBehaviourUser rimane fissa a 3 anche rilassando il settaggio via linguetta (non c'è reboot che sortisca effetti) mentre ripristinando il valore di default (linguetta a palla), allora effettivamente il valore passa ad 1!! ... ma 1 non dovrebbe essere il prompt SENZA il secure desktop?? Insomma, sui valori delle chiavi c'è ancora un pò di confusione...

18-12-2013, 19:16	#10
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	Se qualcuno dovesse leggere, gli fornisco quelli che sono i valori di default tanto per l'utente amministratore ridotto creato in fase di SetUp che per l'utente Standard cosi' da evitare confusione (meglio anzi se non leggete questo thread) Amministratore (ridotto) creato in fase di prima installazione collegato al livello di default dell'UAC Utente Standard

Strumenti
Mostra una versione stampabile Invia questa pagina per email