Installshield：調用icacls來更改特殊文件夾的寫入權限

Question

我已經創建了Installshield 2015（Installscript），它將.NET應用程序安裝到安裝目錄中。

.NET應用程序依賴於SQL CE 4.0數據庫。

安裝過程在管理員或本地管理員帳戶下運行。

在Installshield項目中，我將清空的SQL CE 4.0數據庫.sdf文件放入[CommonAppDataFolder]中。

的Windows Vista（或更高版本）：安裝過程中會在以下位置的數據庫複製C：\ ProgramData \ MyCompany的\ MYAPP \ database.sdf

在安裝過程結束時，MSI將調用一個批處理文件來設置寫權限這樣的「用戶」組（因爲創建在commonAppData文件夾中的文件時，所採取的所有權）：

icacls C:\ProgramData\MYCOMPANY /T /grant *S-1-5-32-545:W 

該應用程序將下一個標準的用戶處理來執行（未升高的由UAC提供），以便通過「用戶」組的成員連接和寫入壓縮數據庫。

我想知道是否允許我在不爲IT管理員創建安全漏洞的情況下執行'icacls'命令，以及是否必須考慮其他組SID？

預先感謝您的回覆，

Answer 1

這是可以接受的運行ICACLS上的文件夾命令，你的安裝過程中創建&文件。在任何其他文件夾上這樣做被認爲是安全漏洞（並且一些防禦軟件能夠檢測並防止它）。但是，至少在企業環境中，除非有很好的理由（例如，您的安裝自己創建的用戶或組），否則我會建議不要使用硬編碼的SID。
相反，安裝程序應該提供一個對話框，允許指定應用權限的用戶和/或組（本地應用程序和適用的域應用程序）（有效地，可以運行應用程序的用戶）。
您可以使用SdLogonUserBrowse（）函數實現此目的。