[Trouble_Maker]

1. Win+R выполнить secpol.msc
2. Локальные политики\Параметры безопасности
3. Контроль учетных записей: все администраторы работают в режиме одобрения администратором (поставьте чекбокс отключен)
4. Перезагрузите ПК
Попробуйте!

[Мама_Таня]

ОК. Точно посмотрю в понедельник. Отпишусь.

Но если я правильно визуально запомнила ветку реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, то параметр EnableUA=0
Я там смотрела сегодня, когда статью на этом сайте читала. И еще пыталась сравнить нормальный комп с ненормальным; перемещала в другой контейнер в Active Directory, смотрела что здесь меняется после обновления политик. По-моему, правильно запомнила.

Еще поясню, т.к. это может быть важно: конечная цель не выровнять права администратора (я бы это пережила с FAR-ом). Главное, что у меня одна программа именно на этих компьютерах криво работает.
Для работы этой программы создается каталог с фиксированным именем на диске С. Путь к каталогу задается в переменной PATH; права у всех пользователей на этот каталог должны быть полные; существует определённый набор файлов в этом каталоге; обязательно регистрируем (regsvr32) парочку DLL из этого каталога.
Далее, при каждом вызове этого инструмента должна подхватиться библиотека, будут создаваться новые файлы и перезаписываться (пополняться) логи. Так вот админский функционал из-под FAR-а, запущенного с адм.правами, отрабатывает.
А когда работает обычный пользователь, то из глобальной АС должен подхватиться вот этот инструмент, но с несколько иным функционалом. Железо видит друг друга (комп сознаёт, что у него на СОМ-порту висит то, что надо, и проходит дальше). А вот дальше ничего не подхватывается, и мои познания в том, что должно быть, весьма эмпирические: должно прорисоваться определенное окно, но оно не прорисовывается, поэтому мне думается, что не подхватывается какая-то библиотека. Или может ПО не может создать/изменить какой-то файл в каталоге.

С какими правами запускается процесс - это тайна, покрытая мраком. Логично было бы предположить, что с правами системы.
Вот я и подумала, что если такой косяк с админскими правами, то может и с ситемными та же проблема....

Повторюсь: везде "галочки" на правах есть, а реально - например, при перезаписи txt-файла, редактированного Блокнотом, выдает "отказано в доступе". При этом удалить/переименовать/сохранить с др.именем - всё можно.

[Chinaski]

Цитата Мама_Таня:

С какими правами запускается процесс - это тайна, покрытая мраком. »

Даже диспетчер задач показывает от имени какого пользователя работает процесс, а ProcessExplorer покажет вам при желании и уровень целостности процесса.

[Мама_Таня]

Спасибо всем.
Отключение "Контроль учетных записей: все администраторы работают в режиме одобрения администратором" действительно помогло в ситуации с правами.
Но моя проблема видимо где-то глубже, т.к. на других компьютерах домена этот параметр "Включен", но права не урезаются и ПО работает. А на этом даже при отключенном параметре и неурезанных правах ПО не работает.
Кстати, посмотрела - ПО запускается от имени пользователя.

А есть у кого-нибудь еще варианты: кроме параметров контроля учетных записей (они везде у меня идентичны), что еще может вызвать такой "правовой эффект"?

[Vadikan]

Цитата Мама_Таня:

А есть у кого-нибудь еще варианты »

Как вариант, уровни целостности, см. 2ю половину этого поста и ссылки в нем.

[Trouble_Maker]

Цитата Мама_Таня:

Спасибо всем. Отключение "Контроль учетных записей: все администраторы работают в режиме одобрения администратором" действительно помогло в ситуации с правами. Но моя проблема видимо где-то глубже, т.к. на других компьютерах домена этот параметр "Включен", но права не урезаются и ПО работает. А на этом даже при отключенном параметре и неурезанных правах ПО не работает. Кстати, посмотрела - ПО запускается от имени пользователя. А есть у кого-нибудь еще варианты: кроме параметров контроля учетных записей (они везде у меня идентичны), что еще может вызвать такой "правовой эффект"? »

Не за что, т.е. проблема с созданием папки и редактированием в ней файлов ушла,я так понимаю? А что за ПО, может быть проблема в нем? Есть ли на ПК еще одна учетка обладающая административными правами, попробуйте сделать "Запуск от имени" и зайти под другой админ. учеткой.

[Мама_Таня]

Пока читала про уровни целостности и разбиралась с текущим положением, нашлось решение.
Всё оказалось предельно просто: у локальной группы "Пользователи" на создаваемых каталогах в Свойствах-Безопасность не было прав на Изменение. Ставлю галку - меню Создать полное и моё злополучное ПО работает, как надо.

Нашла это, конечно, не сама. Поэтому до сих пор не понимаю, почему права лок.группы Пользователи перекрыли права лок.группы Администраторы (там же полные права)? В лок.группу Администраторы входит доменная группа, членом которой я и являюсь. А в лок.группе Пользователи есть только NT AUTHORITY\Прошедшие проверку и NT AUTHORITY\Интерактивные.
Если кто-то кинет ссылки на статьи, объясняющие этот факт, буду очень рада. А так - всем большое спасибо, проблема решена.

[Chinaski]

Цитата Мама_Таня:

Поэтому до сих пор не понимаю, почему права лок.группы Пользователи перекрыли права лок.группы Администраторы (там же полные права)? »

возможно на самой папке куда пытались записать данные стоял запрет для группы/пользователя от имени которого выполняли действие, тогда этот запрет перекроет разрешения данные группе в которой состоит пользователь.

[Мама_Таня]

Папку создаю сама, пользователи всегда разные (домен, однако!). Причем папки создаю самые любые, и ограниченность прав наблюдаю всегда.
Поэтому принудительный запрет на папке и запрет по имени - не вариант.