在实际的使用过程中 , 发现这个方法在大多数时候可以正常工作 , 但是如果在打开IE之前 , 已经调用过紫光拼音 , 则可能无法在IE浏览器里顺利启动紫光拼音 。有人曾说 , Windows Vista没有自带的工具 , 无法查看和设置文件夹的完整性级别 。
果真是这样吗?
笔者有幸在Tech.Ed北京听了IE保护模式的负责人Robert Gu的一堂课 , 了解到Windows Vista其实自带了一款命令行工具Icacls.exe , 可以用它来查看和设置指定文件夹的完整性级别 。
提示
Robert Gu , 微软总部的首席开发主管 , 目前负责IE 7安全的开发 。他是EFS算法的发明者 , 曾主导EFS、PKI的开发 , 是华人中的骄傲 。
现在我们可以大胆猜测 , 既然有现成的Icacls.exe可供使用 , 则完全可以用它来把紫光拼音的工作目录“%AppData\unispim的完整性级别设置为“低级 , 这样无论是IE进程(低级)和外部的进程(中级) , 都可以访问该工作目录 , 紫光拼音就可以工作正常 。
说做就做 , 接下来就以Windows Vista RC2 Build 5744为例进行介绍(需要注意的是 , 该Icacls命令在RC1下无法正常工作):
1.首先需要给当前的帐户增加“修改一个对象标签特权 , 其内部名称为SeRelabelPrivilege 。方法是运行secpol.msc , 打开“本地安全策略管理单元 , 在左侧控制台树中展开本地策略、用户权限分配 , 在右侧详细窗格里定位到“修改一个对象标签策略项 , 双击该策略项 , 把当前的登录帐户添加进去 , 如附图所示 。
2.注销重新登录 , 然后以管理员权限运行命令提示符 , 在命令提示符下输入以下命令:
Whoami/all |find /i "SeRelabelPrivilege"
结果如附图所示 , 这表示当前登录用户已经拥有SeRelabelPrivilege特权 , 只是状态为禁用 。
3.然后运行以下命令:
Icacls.exe %AppData\unispim /SetIntegrityLevel Level:L
命令结果如附图所示 , 表示成功完成 。
4.可以继续运行以下命令 , 查看%AppData\unispim目录的完整性级别:
Icacls.exe %AppData\unispim
命令结果如附图所示 , 表示该目录的强制完整性级别为“低 。
经过这样处理以后 , 就可以正常在IE浏览器里启用紫光拼音了 , 而无法针对特定网站禁用IE保护模式 。如果偶尔发现无法在IE里启动紫光拼音 , 这时候不要着急 , 只需关闭其他启用输入法的程序 , 一般是OutLook、Word、Notepad等编辑程序 , 然后就可以在IE里正常使用紫光拼音 。
接下来 , 还有两个问题:
1 细心的读者朋友发现用Whoami/all命令查看当前用户的访问令牌时 , 发现SeRelabelPrivilege特权是禁用的 。而这个特权正是用来设置对象的完整性级别 , 那么这时候为什么Icacls命令可以成功运行?
当运行Icacls命令设置目录的完整性级别时 , 该Icacls进程的访问令牌会自动启用SeRelabelPrivilege特权 , 以便命令能够顺利完成 。
【Vista下紫光拼音无法使用终极办法】2 。由于Windows Vista RC1下的Icacls命令不能正常工作 , 这里可以下载一个第三方的命令行工具chml.exe 。
推荐阅读
- Vista完整硬件需求公布 最低需要512内存
- 新款LCD也“Vista Premium”
- 开源组织跟微软对着干 推出BadVista站点
- 每日英语听力怎么下载音频?下载MP3听力文件的途径一览
- 微软 Win Vista完整硬件需求
- 微软Vista中文版傻瓜教程:雅黑字体DPI
- 在WindowsVista中轻松实现媒体文件共享
- WindowsVista新手程序安装与设置技巧四则
- Vista下紫光拼音无法使用终极解决办法
- 简析Windows Vista系统的25个缺点