[发明专利]一种Windows系统的多用户动态提权方法

说明书

本发明涉及互联网动态提权技术领域，具体为一种Windows系统的多用户动态提权方法，包括以下步骤；S1：创建多用户单元；S2：生成预设用户口令单元；S3：生成管理员登录令牌；S4：管理员用户单元生成访问者令牌和程序关闭令牌；S5：访问者令牌直接开启，程序关闭令牌关闭；S6：提权到管理员。本发明通过预设的用户口令单元动态生成管理员登录令牌，在无需注销重登录的前提下，在普通用户的当前会话中创建一个新的进程为管理员用户，访问者令牌决定了进程的访问者权限，用户同时运行多个程序，这种操作不仅简单而且安全系数也比较高，适合在办公环境和公众服务平台中使用。

技术领域

本发明涉及一种动态提权方法，特别是涉及一种Windows系统的多用户动态提权方法，属于互联网动态提权技术领域。

背景技术

目前通过RDS技术在一个Windows Server集群中创建多用户，让用户通过RDP协议连接到远程桌面进行工作，出于安全的考虑远程此类用户均为普通用户，不隶属于Windows的Administrators组。但是部分应用程序或文件夹必须由Administrator用户才能正常的使用，在这种情况下，往往需要系统管理员临时将普通用户设置为管理员用户，或强制设置文件的访问权限为普通用户也能完全控制。这种操作不仅操作复杂且有巨大的安全隐患。不适合在办公环境和公众服务平台中使用。

因此，亟需对多用户多会话环境下的动态提权方法进行改进，以解决上述存在的问题。

发明内容

本发明的目的是提供一种Windows系统的多用户动态提权方法，通过预设的用户口令单元动态生成管理员登录令牌，在无需注销重登录的前提下，在普通用户的当前会话中创建一个新的进程为管理员用户，访问者令牌决定了进程的访问者权限，用户同时运行多个程序，这种操作不仅简单而且安全系数也比较高，适合在办公环境和公众服务平台中使用。

为了达到上述目的，本发明采用的主要技术方案包括：

一种Windows系统的多用户动态提权方法，包括以下步骤；

S1：在一个Windows Server集群中创建多用户单元，所述多用户单元通过RDP协议连接到远程桌面进行工作；

S2：所述多用户单元生成预设用户口令单元；

S3：所述预设用户口令单元动态生成管理员登录令牌；

S4：所述管理员登录令牌生成新的进程单元，所述新的进程单元生成为管理员用户单元，所述管理员用户单元生成访问者令牌和程序关闭令牌；

S5：所述访问者令牌直接开启程序和文件，所述程序关闭令牌即时关闭；

S6：其中一个所述新的进程单元提权到管理员；

通过以上技术方案，通过预设的用户口令单元动态生成管理员登录令牌，在无需注销重登录的前提下，在普通用户的当前会话中创建一个新的进程，该进程的创建者可以是指定的系统用户或域用户，可以为管理员用户，访问者令牌决定了进程的访问者权限，用户同时运行多个程序，可以设定其中一个指定的新的进程单元提权到管理员，而其他程序均为普通用户权限，这种操作不仅简单而且安全系数也比较高，适合在办公环境和公众服务平台中使用。

优选的，所述新的进程单元包括系统用户单元或域用户单元。

所述RDP协议接收来自多个用户单元的有关通信设备的服务请求，并判断所述服务请求的类型；

依据所述服务请求的类型将所述服务请求添加到相应的不同任务队列中；

基于所述不同任务队列中的服务请求是否需要直接操作通信设备，按照预设规则执行相应任务队列中的服务请求，并在所述服务请求执行完毕时反馈执行结果至所述远程桌面。