Windows-技术

All Application Packages

By wooblog

什么是 All Application Packages 权限?

  • 定义: All Application Packages 是一个内置安全组,包含所有在 Windows 上运行的 UWP 应用程序(也称为“应用商店应用”或“现代应用”)。它的 SID(安全标识符)是 S-1-15-2-1。

  • 作用: 该组用于控制 UWP 应用程序对系统资源(如文件、文件夹、注册表)的访问权限,确保这些应用程序能够在受限环境中安全运行。

  • 出现背景: 从 Windows 8 开始引入,随 UWP 应用程序的普及而广泛应用,尤其在 Windows 10 和 11 中常见。

All Application Packages 权限的具体能力

该组的权限取决于具体资源的配置,默认包括:

  1. 文件和文件夹管理:

    • 默认权限:

      • 对用户的个人文件夹(如 C:\Users\用户名)中的某些子文件夹(如 Documents、Pictures)有读取和执行权限。

      • 对公共文件夹(如 C:\Users\Public)可能有读取权限。

    • 限制:

      • 默认无法访问系统文件夹(如 C:\Windows、C:\Program Files)的敏感部分,除非明确授权。

      • 无法修改文件,除非资源权限设置为“写入”或“完全控制”。

  2. 系统配置:

    • 无权修改系统设置或注册表,除非特别配置。

  3. 应用程序运行:

    • 允许 UWP 应用程序访问其沙盒环境内的资源。

    • 通过此组权限,应用可以访问用户授权的数据(如通过文件选择器打开的文件)。

  4. 范围:

    • 权限仅适用于 UWP 应用程序,不影响传统桌面应用程序(Win32)。

与 Administrators、Users 和其他组的关系

  • 与 Administrators 的对比:

    • Administrators: 拥有完全控制权,可以管理所有资源。

    • All Application Packages: 权限极低,仅限于 UWP 应用的基本访问需求。

  • 与 Users 的对比:

    • Users: 标准用户对自己的文件有完全控制权。

    • All Application Packages: 权限更受限,通常只有读取和执行权,且仅限于应用需要的范围。

  • 与 Authenticated Users 的对比:

    • Authenticated Users: 包括所有验证用户,与用户账户相关。

    • All Application Packages: 只代表 UWP 应用,不涉及用户身份。

  • 与 TrustedInstaller 的关系:

    • 无权修改受 TrustedInstaller 保护的系统文件。

All Application Packages 权限的特点

  • 默认成员: 该组不包含具体用户,而是动态代表所有 UWP 应用程序。

  • 沙盒机制: UWP 应用运行在沙盒环境中,All Application Packages 权限确保其访问受控。

  • 安全性: 通过限制权限,防止 UWP 应用未经授权访问敏感数据或系统资源。

如何管理 All Application Packages 权限?

  1. 查看权限:

    • 右键文件/文件夹 → 属性 → 安全选项卡 → 查看 All Application Packages 的权限。

    • 默认出现在用户文件夹的权限列表中。

  2. 调整权限:

    • 管理员可以为特定资源(如文件夹)授予 All Application Packages 额外的权限。

    • 示例:右键文件夹 → 属性 → 安全 → 编辑 → 为 All Application Packages 添加“写入”权限。

  3. 典型配置:

    • 在 C:\Users\用户名\Documents 中,All Application Packages 默认有读取权限,允许 UWP 应用访问文档。

实际应用场景

  • 应用访问用户文件: 一个 UWP 照片编辑应用需要读取 Pictures 文件夹,依赖 All Application Packages 的默认权限。

  • 开发者调试: 开发 UWP 应用时,可能需要调整文件夹权限以测试应用功能。

  • 隐私控制: 用户可通过权限设置限制 UWP 应用访问敏感文件夹。

注意事项

  • 权限有限: All Application Packages 的权限远低于用户账户,主要服务于 UWP 应用的运行需求。

  • 用户授权: UWP 应用的实际访问还受应用声明(manifest)和用户同意的限制(如文件选择器)。

  • 不适用于传统应用: 传统桌面程序(如 .exe 文件)不使用此组权限。

总结

All Application Packages 权限是为 UWP 应用程序设计的特殊权限,允许这些应用在沙盒环境中访问必要资源(如用户文件)。它比 Users 和 Administrators 权限低得多,仅提供读取和执行能力(除非特别配置),与 TrustedInstaller 无关。该组确保 UWP 应用安全运行,同时限制其对系统的潜在影响,广泛用于 Windows 10 和 11 的现代应用生态。

Administrators
Anonymous Logon

登录

还没有账号吗? 注册

忘记密码?

注册

重设密码

请输入您的用户名或电子邮箱地址。您会收到一封包含创建新密码链接的电子邮件。