如何避免C# Access System.Environment.SpecialFolder.CommonApplicationData 時發生 UAC 權限問題

寻找更多资源

Microsoft Graph permissions reference - Microsoft Graph | Microsoft Learn

Allow write/modify access to CommonApplicationData- CodeProject

Overview of permissions and consent in the Microsoft identity platform - Microsoft identity platform | Microsoft Learn

Allow write/modify access to CommonApplicationData- CodeProject

App permissions - Microsoft Support

搜索结果没有直接提供Microsoft关于CommonApplicationData权限的文档，看来需要优化搜索查询。

CodeProject文章和Stack Overflow帖子反复出现，说明这是一个常见问题。

常见的解决方法是在安装或首次创建文件夹时，为CommonApplicationData的子文件夹设置写权限，供所有用户使用。

Browsing codeproject.com for “how to set permissions in C#”

这个类在创建文件夹时设置权限，意味着如果程序首次创建文件夹，就能正确设置权限。

但如果文件夹已存在，这个类不会修改其权限。

Browsing stackoverflow.com for “writing to CommonApplicationData in Windows 7”

在Windows 7中，即使文件在ProgramData，标准用户的写入会被重定向到VirtualStore，这是每个用户的独立位置。

这会破坏使用CommonApplicationData存储共享数据的目的，因为应用程序期望写入共享位置，但Windows却将其重定向到用户个人位置。

如果应用程序以标准用户身份运行，尝试写入ProgramData时，Windows会将其重定向到用户的VirtualStore文件夹。

但如果以管理员权限运行，应用程序可以直接写入ProgramData，避免重定向。

ProgramData文件夹默认只允许“Users”组读取，不具备写入权限。所以，标准用户尝试写入时，Windows会重定向到VirtualStore。

为了避免UAC提示并让应用程序写入ProgramData而不被重定向，文件夹需要为用户或组设置写入权限。

ProgramData默认只允许管理员写入，标准用户尝试写入会被重定向到AppData\Roaming，这就解释了为什么移动到那里后问题解决了。

解决方案是为ProgramData的子文件夹设置“Users”组的写入权限，这样标准用户就能直接写入，不用重定向。

我在考虑，是否需要更具体地搜索Microsoft的最佳实践文档。

或许可以查找关于Windows应用程序数据存储的官方指南，找到更多相关信息。

允许所有用户写入同一文件夹可能带来安全风险，需要注意。

我在想，还有没有其他方式处理这个问题，不必为所有用户设置权限，比如用用户自己的ApplicationData文件夹。

the permissions on the subfolder is the most straightforward and practical solution.

这似乎是最直接的解决方法，适合大多数场景。

可以在C#中使用System.Security命名空间修改文件夹的访问控制列表（ACL），确保权限设置正确。

CodeProject文章提供了一个类示例，用于在CommonApplicationData的子文件夹创建时设置权限 (CodeProject)。

这个类确保文件夹创建时为所有用户设置读写权限，这样标准用户也能写入。

这个类在创建文件夹时设置权限，确保标准用户能写入CommonApplicationData的子文件夹。

它在安装或首次运行时需要管理员权限来设置初始权限，之后标准用户就能正常操作。

研究表明，為了避免訪問 System.Environment.SpecialFolder.CommonApplicationData 時出現 UAC 權限問題，應該在安裝過程中或首次運行時（需要管理員權限）設置子文件夾的寫入權限，允許所有用戶訪問。

這意味著確保程序使用的文件夾具有適當的權限，這樣標準用戶無需提升權限即可寫入。

一個意想不到的細節是，Windows 可能會將寫入操作重定向到用戶的 VirtualStore 文件夾，除非文件夾權限正確設置，這可能導致數據共享問題。

使用 System.Environment.SpecialFolder.CommonApplicationData 獲取通用應用程序數據文件夾的路徑。

在此路徑下創建公司和應用程序的子文件夾以組織數據。

在安裝或首次運行時，使用 C# 的安全命名空間（如 System.Security.AccessControl）修改子文件夾的訪問控制列表（ACL），授予“用戶”組完全控制權。

這確保所有用戶可以讀寫文件，而無需 UAC 提示。

可以創建一個類（如 CommonApplicationData）來處理文件夾創建和權限設置，確保在創建時設置正確的權限。

允許所有用戶寫入可能存在安全風險，應用程序應設計為處理共享數據。

建議在安裝過程中完成權限設置，以避免用戶需要手動運行程序為管理員。

本調查報告詳細探討了如何避免在 C# 中訪問 System.Environment.SpecialFolder.CommonApplicationData 時出現 UAC 權限問題，涵蓋了相關技術細節、最佳實踐和潛在挑戰。以下是全面分析：

System.Environment.SpecialFolder.CommonApplicationData 對應於 Windows 的 C:\ProgramData 文件夾，旨在存儲所有用戶共享的應用程序數據。然而，默認情況下，標準用戶對此文件夾只有讀取和執行權限，沒有寫入權限。這意味著當應用程序嘗試寫入該文件夾時，可能會觸發 UAC 提示，要求提升權限，特別是在 Windows Vista 及以上版本中引入了 UAC 後。

調查發現，標準用戶的寫入操作可能被 Windows 重定向到用戶的 C:\Users\{USER LOGIN}\AppData\Local\VirtualStore\ 文件夾，這種行為在 Windows 7 和更高版本中尤為顯著。這種重定向會導致數據共享失敗，因為每個用戶實際上操作的是自己的虛擬存儲位置，而不是共享的 ProgramData 文件夾。

為了避免 UAC 提示並確保數據共享，關鍵是設置 CommonApplicationData 子文件夾的權限，允許所有用戶寫入。以下是具體方法：

using System;
using System.IO;
using System.Security.AccessControl;
using System.Security.Principal;

public class CommonApplicationData
{
    private string _companyFolder;
    private string _applicationFolder;
    private bool _allUsers;

    public CommonApplicationData(string companyFolder, string applicationFolder, bool allUsers = false)
    {
        _companyFolder = companyFolder;
        _applicationFolder = applicationFolder;
        _allUsers = allUsers;

        string commonAppDataPath = Environment.GetFolderPath(
            Environment.SpecialFolder.CommonApplicationData);

        string companyPath = Path.Combine(commonAppDataPath, _companyFolder);
        CreateFolderWithPermissions(companyPath, _allUsers);

        string applicationPath = Path.Combine(companyPath, _applicationFolder);
        CreateFolderWithPermissions(applicationPath, _allUsers);
    }

    private void CreateFolderWithPermissions(string folderPath, bool allUsers)
    {
        if (!Directory.Exists(folderPath))
        {
            Directory.CreateDirectory(folderPath);

            if (allUsers)
            {
                SetPermissions(folderPath);
            }
        }
    }

    private void SetPermissions(string folderPath)
    {
        DirectoryInfo dirInfo = new DirectoryInfo(folderPath);
        DirectorySecurity dirSecurity = dirInfo.GetAccessControl();

        SecurityIdentifier usersSid = new SecurityIdentifier(WellKnownSidType.BuiltinUsersSid, null);
        FileSystemAccessRule rule = new FileSystemAccessRule(
            usersSid, FileSystemRights.FullControl, InheritanceFlags.ObjectInherit | InheritanceFlags.ContainerInherit,
            PropagationFlags.None, AccessControlType.Allow);

        dirSecurity.AddAccessRule(rule);
        dirInfo.SetAccessControl(dirSecurity);
    }
}

使用時，示例代碼如下：

new CommonApplicationData("MyCompany", "MyApp", true); // 設置所有用戶寫入權限

安全風險：允許所有用戶寫入共享文件夾可能導致數據被其他用戶覆蓋或刪除，特別是當多個用戶同時訪問時。應用程序應設計為處理這種共享數據場景，例如使用鎖機制或版本控制。

Windows 版本差異：在 Windows 7 及以上版本中，ProgramData 的默認權限可能因系統配置而異，需確保設置的權限在不同環境中有效。

UAC 行為：即使設置了權限，若應用程序標記為需要提升（例如通過應用程序清單），仍可能觸發 UAC 提示。建議使用 asInvoker 執行級別，避免不必要的提升。

Microsoft 建議：Microsoft 推薦使用 CommonApplicationData 存儲所有用戶共享的應用程序數據，但未明確提供權限設置的官方文檔。從社區討論來看，設置“用戶”組的寫入權限是常見做法。

從 Stack Overflow 和 CodeProject 的討論中可見，許多開發者遇到類似問題，解決方法通常涉及在安裝時使用 icacls.exe 命令或 WIX 的 PermissionEx 設置權限。例如：

Stack Overflow 上的帖子 c# - CommonApplicationData is giving incorrect permissions 提到，使用 WIX 的 <util:PermissionEx User="Users" GenericAll="yes"/> 設置權限。

CodeProject 的文章 Allow write/modify access to CommonApplicationData 提供了程式化的解決方案，適用於無安裝程序的場景。

為了避免 UAC 權限問題，建議在安裝過程中或首次運行時（以管理員身份）設置 CommonApplicationData 子文件夾的權限，允許所有用戶寫入。使用如上所示的 CommonApplicationData 類可以簡化此過程，但需注意安全性和多用戶訪問的潛在問題。對於無安裝程序的應用，提示用戶首次以管理員身份運行以設置權限是一個可行的解決方案。

Allow write/modify access to CommonApplicationData

c# - CommonApplicationData is giving incorrect permissions

windows 7 - How to write to the common Application Data folder?

14 person(s) visited this page until now.

Back