Права доступа к папкам Windows, администраторы и UAC, как с этим справиться?

Лучший способ - определить новую группу, содержащую членов, которых вы считаете администраторами этой папки. Если у вас есть домен AD, вы можете создать эту группу в AD, а затем добавить эту группу в группу администраторов (на локальном компьютере) и избежать необходимости администрировать две группы.

Примечание. Если вы пытаетесь сделать это локально, помните, что вам необходимо выйти и снова войти в систему, чтобы новые разрешения вступили в силу.

Решение - просто удаленно управлять сервером. Фильтрация прав администратора UAC применяется только при доступе к локальной системе.

С выпуском Server Core Microsoft настоятельно рекомендовала людям удаленно администрировать серверы вместо прямого подключения к ним для управления ими.

Конечно, если у вас действительно небольшая сеть, это может оказаться невозможным, поэтому можно отключить UAC или настроить разрешения файловой системы, чтобы вместо администраторов для предоставления разрешений использовалась другая группа.

Есть два способа легко обойти это ограничение:

• Используйте файловый менеджер по вашему выбору (например, Total Commander) и запустите его от имени администратора (предпочтительно)
• Отключите ограничение UAC проводника: http://www.msfn.org/board/topic/144776-unable-to-open-an-elevated-windows-explorer-window/

Предоставьте разрешение на чтение / выполнение в корневом каталоге диска встроенному принципалу под названием «Интерактивный». Тогда никаких изменений в UAC не требуется.

Таким образом, люди, выполнившие вход на рабочий стол удаленно или «локально» (консоль виртуальной машины или физический экран и клавиатура), могут по-прежнему просматривать файлы и запускать программы даже с включенным UAC.

Например, вы можете удалить разрешение по умолчанию «Пользователи могут читать и создавать все из корня», чтобы разумно заблокировать сервер, но избежать невозможности эффективного входа в систему, просмотра файлов и перехода туда, где вы хотите изменить настройки в качестве администратора.

Как только вы откроете диалоговое окно безопасности и захотите изменить разрешения, появится кнопка для изменения настроек от имени администратора. Таким образом, вы получите лучшее из обоих миров:

1. Нет ограничений на просмотр структуры и содержимого дисков "локальным" администратором / оператором.
2. Защита от изменений неадминистраторами.

Единственное отличие от стандартных разрешений заключается в том, что мы не говорим, что только локальные учетные записи «Пользователи» могут читать все, а только люди, которым предоставлен доступ к консоли Windows, то есть это логически означает «физический» (или виртуальный) «интерактивный» доступ к серверу. , который никому не дарован. Это может не работать для терминальных серверов, если нет лучшего способа различать эти типы сеансов (предложите отредактировать, если вы это знаете).

Конечно, первый совет - по возможности используйте ядро ​​сервера / удаленного администратора. Но в противном случае это помогает избежать общего конечного эффекта, заключающегося в том, что сервер, на котором по умолчанию были удалены разрешения пользователей, в конечном итоге удаляется с десятками разрешений личных учетных записей пользователей, применяемых повсеместно. И это не совсем вина администратора, они просто пытаются выполнять свою работу стандартными средствами без особой сложности (просто используйте File Explorer).

Еще одним положительным эффектом этого решения является возможность заблокировать права доступа корневого диска и по-прежнему иметь сервер, «пригодный для использования» для администратора, вошедшего на рабочий стол, необходимость отключения наследования для удаления нежелательных разрешений сверху часто исчезает. Тот факт, что все пользователи по умолчанию могут читать и создавать все, что они хотят, ниже вашего общего пути, является распространенной причиной отключения наследования, когда никто не хочет иметь дело с "основной" причиной ;-)

не может открыть папку в проводнике, потому что «у вас нет разрешения».

Я подозреваю, что это связано с тем, что обычные процессы не имеют токена прав администратора из-за UAC, если вы не запускаете также как администратор. Но я не могу этого сделать для Windows Explorer, не так ли?

Да, вы МОЖЕТЕ запустить Explorer с повышенными привилегиями, чтобы решить вашу проблему!

Для этого вы должны:

• открыто Task Manager
  • Перейти к Details вкладка
  • Убить существующее "Explorer.exe"работает как ваш пользователь.
    • Примечание: ваше стартовое меню, папки и т. Д. Исчезнут, это нормально
  • Нажмите File
  • Выбрать "Start New Process"
    • Появится диалоговое окно «Создать новую задачу».
  • Тип Explorer.exe в раскрывающемся списке "Открыть:".
  • Проверить Checkbox Следующий на "Run task with administrative privileges"
  • Нажмите OK
    • Если появится запрос на повышение прав, щелкните accept.

Вуаля!

Снова появляется меню «Пуск», и уровень проводника Windows повышается!

Теперь вы запускаете Explorer как процесс с повышенными правами, поэтому любые действия проводника, требующие повышения прав, будут работать без необходимости повышать каждый раз.

Таким образом, вы можете удалить папку или пройти по папке, проверить разрешения или прочитать файл без необходимости запускать повышенные права для каждого отдельного действия.

Я столкнулся с этим, потому что мы используем режим утверждения администратора для повышения без запроса, однако для удаления папок и файлов, а иногда и для доступа к ним, это вызывает у нас проблемы, когда пользователь является членом группы локального администратора, а не имеет явных разрешений, повышая Explorer решил эту проблему.