配置特权提升

您可以从域用户移除管理员特权，并仍允许用户以管理员身份启动某些应用程序。

通过特权提升，用户可以像管理员组的成员一样启动某些预配置的应用程序， VMware Dynamic Environment Manager 代理会在本地桌面上以提升的特权运行这些应用程序。

注： “网络配置运维人员”组中的成员不支持特权提升。

重要说明：特权提升功能可向用户授予临时管理员特权。此功能只能由管理员用于特定用例。此功能并不能当作安全功能使用，需使用额外的安全措施来防止恶意使用。

您可以配置以下特权提升类型。

提升的应用程序
用户安装的应用程序
提升的任务

对于提升的应用程序，将在用户登录后进行特权提升。要在用户登录期间之外提升应用程序，请选择提升的任务 (Elevated task) 作为特权提升类型。有关要使用“提升的任务”功能配置的任务类型示例，请参阅配置登录和注销任务和配置导入和导出任务。

模式描述

提升的应用程序

选择要提升的应用程序。

您可以根据特定哈希、路径、发布者或命令行参数来提升应用程序。

通过基于哈希的提升，您可以配置一个或多个哈希，从而允许 VMware Dynamic Environment Manager 提升可执行文件，而无需考虑文件位置。仅当可执行文件的 SHA256 哈希（从文件内容计算）与配置的某个哈希相同时，VMware Dynamic Environment Manager 才会提升该文件。
通过基于路径的提升，您可以配置要提升的特定文件或文件夹路径。仅当用户从配置的某个文件或文件夹路径运行可执行文件时，VMware Dynamic Environment Manager 才会提升该文件。
通过基于发布者的提升，您可以允许 VMware Dynamic Environment Manager 提升来自某些发布者的应用程序。仅当可执行文件的 Authenticode 签名与配置的某个发布者匹配时，VMware Dynamic Environment Manager 才会提升该文件。
通过基于参数的提升，您可以配置要提升的文件路径和命令行参数的特定组合。仅当用户使用相应命令行参数从配置的某个文件路径运行可执行文件时，VMware Dynamic Environment Manager 才会提升该文件。用户必须使用完全限定路径来运行目标可执行文件。
对于位于当前配置了基于路径的提升的文件夹或相应子文件夹中的可执行文件，为避免与基于路径的提升发生冲突，VMware Dynamic Environment Manager 会静默忽略针对这些可执行文件的基于参数的特权提升。无论指定的参数如何，VMware Dynamic Environment Manager 都会以提升的特权运行这些可执行文件。

您只能提升 .EXE 文件。默认情况下，不会提升子进程。要手动提升子进程，请在配置应用程序以提升其特权时选择同时提升子进程 (Also elevate child processes)。

用户安装的应用程序

选择一个用户可从中安装提升的应用程序的文件夹。对于用户安装的应用程序，您只能使用基于路径的配置。

除非子进程与提升的应用程序位于同一文件夹（即用户的临时文件夹或系统的临时文件夹），否则不会提升子进程。

用户安装的应用程序支持 .MSI 和 .EXE 文件。

提升的任务

选择要作为提升的任务运行的应用程序。


可执行文件	要以提升的特权启动的可执行文件的完全限定路径。
参数	（可选）可执行文件的命令行参数。
异步运行	如果选择此选项，FlexEngine 将在后台运行命令，而无需等待命令完成。
超时	（可选）FlexEngine 等待命令完成的时间。如果命令未在此时间间隔内完成，FlexEngine 将继续运行，而命令将在后台继续运行。如果未配置此超时设置，FlexEngine 会无限期地等待，直到命令完成。如果选择了异步运行，则超时设置将不可用。

要启动已配置的任务，可以使用命令行参数 ‑LaunchTask "name-of-task" 调用 FlexEngine.exe，也可以使用 VMware Dynamic Environment Manager 任务。请参阅配置登录和注销任务和配置导入和导出任务。

VMware Dynamic Environment Manager 会将关于提升的任务的启动状态消息记录到 FlexEngine-ElevatedTasks.log 日志文件中。

注：如果使用应用程序阻止设置，默认情况下，将仅允许运行 Program Files 和 Windows 中的应用程序。您可能需要创建一个允许设置来运行此应用程序。