¿Realmente necesito permisos de administrador local en mi propia computadora portátil para poder acceder a MMC para verificar / verificar cosas como la propiedad de activos para un determinado objeto, estructura de grupo, etc.?
En Internet se encontró información contradictoria, por lo que me preguntaba si existe la posibilidad de acceder a esta información sin ellos.
mmc.exe se puede ejecutar con permisos de usuario limitados; esto solo evita que haga la mayoría de las cosas que querrías hacer. Por ejemplo, con permisos que no son de administrador, puede editar su almacén de certificados personal, pero tendrá acceso de solo lectura al almacén de certificados del sistema (máquina). Algunos complementos serán completamente inútiles con permisos limitados (por ejemplo, diskmgmt.msc , el complemento Administración de discos, requiere conexión con el Servicio de disco virtual y no creo que pueda hacerlo sin privilegios elevados; intente ejecutar el la línea de comando equivalente diskpart.exe y si no la eleva, devolverá Access is denied ).
Básicamente, depende de lo que haga el complemento. Si es compatible tanto con la configuración específica del usuario como con la configuración de todo el sistema, existe la posibilidad de que pueda usarla (solo para el usuario actual) sin privilegios elevados. Si realiza cambios en algunos almacenes de datos directamente (por ejemplo, editando el registro o el sistema de archivos usando las API relevantes) o indirectamente (por ejemplo, los certificados normalmente se almacenan en el registro, aunque normalmente se accede a ellos a través de las API criptográficas que llaman) las API de registro necesarias entre bastidores), entonces puede hacer lo que sea que las ACL en ese almacén de datos le permitan a su usuario actual (por ejemplo, acceso de solo lectura a certificados de todo el sistema). Por otro lado, si realiza algún tipo de comunicación entre procesos, no podrá utilizar el complemento en absoluto si el canal de IPC requiere más privilegios de los que tiene. Del mismo modo, si requiere un privilegio de NT ( por ejemplo, SeImpersonatePrivilege , que te permite decirle al sistema operativo que finja que eres un usuario diferente), por supuesto, no puedes usarlo si no tienes ese privilegio.
El complemento MMC es parte de la consola ADMIN, por lo que inherentemente necesita privilegios de administrador. De lo contrario, tendría un agujero de seguridad ya que alguien con acceso de usuario podría instalar certificados maliciosos y no tendría forma de saber si sus conexiones eran seguras.
Lea otras preguntas en las etiquetas permissions