У нас есть выбор папок верхнего уровня:
E:\Data1
E:\Data2
E:\Data3
Разрешения просты - по умолчанию CREATOR OWNER, SYSTEM Full Control, некоторые группы безопасности, позволяющие изменять и LOCAL SERVER\Administrator group Full Control. Нет DENY, только РАЗРЕШИТЬ разрешения.
У меня есть учетная запись пользователя, которая является членом упомянутой выше локальной группы администраторов. Однако, когда я получаю доступ к папке, появляется подсказка UAC, в которой говорится, что необходимо добавить разрешения, прежде чем я смогу получить доступ к папке. Для этой учетной записи пользователя добавлена явная запись, и теперь я могу получить доступ к папке.
Но почему? Я являюсь членом группы, которая имеет полный контроль, почему это подсказывает? Папка настроена так, чтобы не наследовать разрешения от родительской папки, поэтому нет никаких странных разрешений, наследующихся от родительской папки.
ОАК направлена на повышение безопасности Microsoft Windows за счет ограничения прикладного программного обеспечения с правами стандартного пользователя. *
Это значитНесмотря на то, что учетная запись пользователя находится в группе администраторов, explorer.exe запускается только со стандартными правами пользователя. И как обычный пользователь, вам не разрешен доступ к этим папкам.
Но когда вы пытаетесь получить доступ к этим папкам, Windows распознает, что ваша учетная запись является членом группы администраторов. Он спрашивает вас (через приглашение UAC), хотите ли вы использовать полномочия системного администратора (через членство в группе администратора), чтобы добавить свою учетную запись пользователя в ACL.
Таким образом, explorer.exe никогда не получает привилегий стандартного пользователя, что повышает безопасность Microsoft Windows.
Это связано с тем, что с включенным UAC по умолчанию вы получаете доступ к папкам в контексте, не имеющем прав администратора, несмотря на то, что вы являетесь членом группы администраторов. Альтернативой может быть запуск проводника от имени администратора.
Это несколько объясняется здесь: http://think-like-a-computer.com/2011/05/11/windows-access-denied-folder-administrator/
«Когда вы входите в систему как администратор, как правило, у вас будет полный неограниченный доступ ко всему. UAC стремится предотвратить это, выполняя все задачи, которые не требуют доступа администратора, в более строгой манере. Когда UAC включен, администратор использует два токена доступа. ; токен стандартного пользователя (с ограничениями) и токен администратора (без ограничений). Все задачи сначала запускаются под ограниченным токеном пользователя. Только тогда, когда для определенной программы или задач требуются полные права администратора, он затем предлагает вам запустить их в режиме с повышенными правами. Затем он запускает эту задачу, используя токен администратора ".
Что я делаю, так это создаю группу без прав администратора, называемую что-то вроде «администраторы файлового сервера». Затем я предоставляю этой группе полный доступ к расположению папки. Затем я добавляю соответствующих пользователей, которым нужен этот доступ, в эту группу. Поскольку эта группа является частью токена пользователя без повышенных прав, доступ предоставляется таким образом.
Ссылка Марка в разделе «Как предотвратить отказ в доступе к папке?» в первом абзаце объясняет это - просто проигнорируйте предложение по этой ссылке, чтобы отключить UAC: D