在Windows系统下，为了更好地管理企业员工电脑不让他们随意安装软件，我们一般不会给用户管理员权限，就让他们待在普通用户组里面。但实际工作中，我们经常会遇到一些软件它必须要提权才能使用，这就很尴尬了，不给权限软件不能使用，给了又担心同事乱来。

于是就有几个算是比较常见的“轻量”级解决办法：

• 加Power Users组：把用户加到Power Users组，坦白说，这不算是一个办法，Power Users组的权限太大了，即便如此，有些软件它连Power Users它都不能运行，甚是讨厌。总的来说极不推荐此方法。

• 使用Runas命令：通过runas的 /savecred 参数，把管理员密码保存在用户的密码保管箱里。但是，这个方法也是有风险的，用户可以使用同样的命令去运行其它的程序 ，只需要把notepad改为其它的软件即可。

  runas /savecred /user:administrator notepad

App Compatibility Toolkit (ACT)

其实微软官方是有一个解决办法的，App Compatibility Toolkit(以下简称ACT)就能解决。ACT是微软的“Windows Assessment and Deployment Kit(ADK)”中的一个组件，用于解决应用程序兼容性问题。下面我分享一下具体的操作。

下载ADK下载器

如上所述，ACT是ADK里面的一个组件，所以我们得先下载ADK，到以下网址下载最新的ADK

https://learn.microsoft.com/en-us/windows-hardware/get-started/adk-install

下载/安装 ADK

注意，上一步下载的仅仅是ADK的下载器，运行它，选择“安装”或“下载”完整的安装包，我建议是选择“下载”而不是“安装”，这样更便于以后安装ACT

下载完后，打开下载目录运行adksetup.exe即可开始安装，可以选择只安装ACT

这个完整的ADK安装包有1.4+Gb，如果你仅仅想把ACT给提取出来以便日后使用，只需要把Installer目录下的以下文件保留下来即可

这里有个小提醒，如果你不是使用adksetup.exe而是手动的双击运行上面的msi安装包安装，可能会屏幕一闪就没了，你可能会以为没有开始安装就结束了，其实不然，这个安装包实在太小了，安装过程很有可能一闪而过就结束了。要验证是否安装好，只需要打开开始菜单，找到以下图标即可，32bit就是给32位软件提权的，而64bit就是给64位软件提权，这很好理解。

​

提权步骤

接下来我演示一下如何给一个64位的软件Paint.Net提权（见谅，手头上刚好没有需要提权才能运行的软件，我就随便找了Paint.Net，即使用了这办法，不见得对Paint.Net有任何帮助，但操作步骤是一样的。）

打开64位的ACT，按下图步骤操作。点一下左边列表的new database，然后点上面的Fix按钮，输入要被提权的软件的名字，然后选择这个软件的执行文件，Next，勾选RunAsAdmin和RunAsInvoker，然后一直Next直到Done完成。

点击Save按钮保存这个配置，改个容易记的名字

把这个sdb配置文件保存在一个你容易找到的地方，以后可能会用得着(如果你想把这个配置在其它电脑上应用的话。)

最后，对着刚才的配置按右键，选Install即可。

接下来你就可以直接打开软件测试之前需要提权才能正常运行的功能，现在是否直接就能使用了。

总结

我们应该以最小权限原则给用户分配权限，不到最后尽可能不要给用户高权限，以免产生各种问题。这个办法应付几百台电脑的环境还行，毕竟涉及大量的手工操作，如果遇到集团上千台电脑的环境，这样的手工方式就太累了。但有个小技巧就是把.sdb文件放到一个共享的位置或复制到目标计算机，然后以管理员身份远程执行命令：``

sdbinst.exe -q "你的fix.sdb"

这样也可以达到批量的效果。另外，也可以试一下另一个轻量级的应用PowerRun。但如果贵司有钱，那就不妨试试Delinea的Privileged Access Management。

阅读原文：原文链接