安装程序无法在WinServer2012+上为%ProgramData%\MyFirm\MyApp设置正确的文件夹权限。

Question

这是我的BasicMsi设置，每台机器安装一个应用程序(32位) MyApp。安装程序需要启动时的管理权限。应用程序MyApp被安装到由操作符选择的INSTALLDIR文件夹中(通过UI/CommadLine)，并使用子文件夹和文件创建一个%ProgramData%\<MyFirm>\<MyApp>结构。在msi表LockPermissions中，权限设置为修改(读/写/删除.)对于文件夹<MyApp>，本地用户组'Administrators‘和’user‘(由SID定位)。<MyApp>和子文件夹中的文件在运行时由应用程序MyApp使用和修改。安装程序安装在系统上，从Win7到Win10，从WinServer2003到WinServer2016 (32/64；UAC on/off)。该应用程序由操作员启动，其帐户位于本地用户组“Administrators”或“user”(而不是 'Run‘)。

问题:仅在WinServer2012和WinServer2016上安装后的WinServer2012(没有选中WinServer2008；WinServer2003 -是OK) --一个在本地组管理员或用户中有帐户的操作符没有在文件夹<MyApp>和子文件夹中写入/删除/创建文件的权限。结果-应用程序不能正常工作(仅适用于WinServer2012和WinServer2016)。

，请帮我回答问题：

• %ProgramData%下的文件夹权限有什么不同，或者本地内置用户组(“管理员”或“用户”)对Win10 (或WinServer2003)的权限与(WinServer2012和WinServer2016)的权限有什么不同？
• 安装程序还应该在系统中更改什么(WinServer2012和WinServer2016)，以便本地组管理员或用户的帐户在%ProgramData%\<MyFirm>\<MyApp> 文件夹中拥有写/删除权限，而不需要‘作为管理员运行’(UAC /off)？

提前谢谢。

Answer 1

更新：在Windows中设置权限: MSILockPermissionsEX和ISLockPermissions (使用Installshield)。

权限检查：文件夹上显示的实际权限是什么？您可以使用Windows Explorer => Properties => Security => Advanced => Double click user / group to see detailed access。检查工作和不工作的系统之间的差异。

如果这还不够好，可以尝试使用SysInternals的AccessEnum或AccessChk工具来显示为所述对象定义的权限的详细信息。

权限检查：我还会使用过程资源管理器来检查您的进程运行时使用的NT特权--只检查是否存在任何差异(科幻术语中的“鱼雷全面传播”--就像“我们到底在做什么”--不会造成伤害)。我并不认为这会影响到一些事情--权限、权限和权限是不同的(权限在系统范围内应用--例如更改系统时间、作为服务登录等.-为文件和文件夹等安全对象定义权限)。

• 发射过程资源管理器
• 双击应用程序(如果启动)
• 转到“安全”选项卡，查看下面的框：

​

​

logging ：您做了正确的日志记录吗？如果不是，安装并创建详细的日志文件。和也许在这里查查我的答案。和更详细的版本，并提供了更多关于理解日志条目的提示。