如何判断进程是否在具有管理员权限的情况下运行？

我使用的是启用了UAC的Windows Vista。我已经安装了一个应用程序，并且安装程序需要管理员权限。然后，安装程序启动了该应用程序。我想知道应用程序是否继续以管理员权限运行。

我尝试过Windows Task Manager和Process Explorer，但都没有显示此信息。

在“ 进程资源管理器”中，双击该进程以打开其属性。转到“ 安全性”选项卡。在组列表中，找到BUILTIN \ Administrators，然后查看“ 标志”列中的内容。

拒绝=未提升（不是管理员）

所有者=高架（是管理员）

在Process Explorer中，您可以更改显示的列，并从“ Process Image”选项卡中添加“ Integrity level”列：

这显然是用管理员权限运行流程时所更改内容的技术术语。如果您以管理员身份运行Process Explorer，它将以“中等”完整性级别显示普通进程，将以“高”级别显示提升的进程。

请注意，如果您以普通用户身份运行进程浏览器，它将在完整性级别列中显示具有管理员特权的进程，并带有空白条目。

使用操作系统进行更新：我相信Windows 7和Windows 10（不确定Vista）中包含的资源监视器在“ CPU”选项卡的“进程列表”部分中具有一个可选的“提升”列，这似乎非常准确。

如果您更喜欢使用命令行工具，则可以使用MS Sysinternals套件中的Accesschk实用程序来检查进程是否在具有管理员权限的情况下运行。

以下标志可用于此目的：

• 该-p（处理）选项接受的名称或正在运行的进程的PID。

• 该-v（详细）选项打印Windows完整性级别

• 所述-q被印刷由（安静）选项可防止版本信息。

• 该-f（全）选项也可用于提供对过程（ES）（用户，组和权限的安全令牌的详细信息）甚至更多的信息，但不要求额外的细节这个层面来检查提升权限。

例

列出所有正在运行的cmd进程的特权：

> accesschk.exe -vqp cmd

[5576] cmd.exe
  Medium Mandatory Level [No-Write-Up, No-Read-Up]
  RW ICS\Anthony
        PROCESS_ALL_ACCESS
  RW NT AUTHORITY\SYSTEM
        PROCESS_ALL_ACCESS
[8224] cmd.exe
  Medium Mandatory Level [No-Write-Up, No-Read-Up]
  RW ICS\Anthony
        PROCESS_ALL_ACCESS
  RW NT AUTHORITY\SYSTEM
        PROCESS_ALL_ACCESS
Error opening [6636] cmd.exe:
Access is denied.

在这里，我们可以看到cmd我开始了三个过程。前两个具有中等强制性（完整性）级别，并且显示为在我的域帐户下运行，这表明这些进程是在没有管理员特权的情况下启动的。

但是，最后一个进程（PID 6636）是使用提升的权限启动的，因此我的非特权命令无法读取有关该进程的信息。以提升的权限运行accesschk并显式指定其PID将显示以下信息：

> accesschk.exe -vqp 6636

[6636] cmd.exe
  High Mandatory Level [No-Write-Up, No-Read-Up]
  RW BUILTIN\Administrators
        PROCESS_ALL_ACCESS
  RW NT AUTHORITY\SYSTEM
        PROCESS_ALL_ACCESS

现在我们可以看到“完整性级别”为“ 高”，并且此过程正在Administrators内置安全组下运行。