Проводник Windows и UAC: запускать с повышенными правами
Меня очень раздражает UAC, и я отключаю его для моего администратора везде, где могу. Тем не менее, есть ситуации, когда я не могу, особенно если это машины, не находящиеся под моим постоянным управлением.
В этом случае я всегда сталкиваюсь с задачей просмотра каталогов с помощью моего административного пользователя через проводник Windows, где обычные пользователи не имеют разрешений на «чтение». Возможны два подхода к этой проблеме на данный момент:
измените списки управления доступом в каталог, о котором идет речь, чтобы включить в него моего пользователя (Windows удобно предлагает Продолжать кнопка в «В настоящее время у вас нет разрешения на доступ к этой папке» диалог. Это явно отстой, потому что чаще всего я не хотите изменить ACL, но просто посмотрите содержимое папки
используйте командную строку cmd.exe с повышенными правами вместе с набором утилит командной строки - это обычно занимает много времени при просмотре больших и / или сложных структур каталогов
Я бы хотел увидеть способ запустить Проводник Windows в расширенном режиме. Мне еще предстоит узнать, как это сделать. Но другие предложения, решающие эту проблему ненавязчивым способом без изменения конфигурации всей системы (и желательно без необходимости что-либо скачивать / устанавливать), также приветствуются.
Я видел эта почта с предложением изменить HKCR - интересно, но это меняет поведение всех пользователей, что мне не разрешено делать в большинстве ситуаций. Кроме того, некоторые люди предложили использовать UNC-пути для доступа к папкам - к сожалению, это не работает при доступе к той же машине (т.е. \\localhost\c$\path), поскольку членство в группе «Администраторы» по-прежнему удаляется из токена, и повторная аутентификация (и, следовательно, создание нового токена) не произойдет при доступе к localhost.
PRE-2012/8
(изображения и оригинальная идея из http://kb.cadzow.com.au:15384/cadzow/details.aspx?Print=Y&ID=2343)
1. Откройте административную командную строку.
2. Удерживая Ctrl + Shift + Rt, щелкните Завершение работы в начальном меню.
3. Выберите Exit Explorer
4. тип explorer в командной строке с повышенными привилегиями и нажмите клавишу ВВОД.
Проводник теперь работает в контексте с повышенными привилегиями, который имелся в командной строке с повышенными правами.
2012/8
1. Откройте административную командную строку.
2. Запустите диспетчер задач и разверните More details
3. Щелкните правой кнопкой мыши Windows Explorer и выберите End task
4. Введите explorer в командной строке с повышенными привилегиями и нажмите клавишу ВВОД.
Проводник теперь работает в контексте с повышенными привилегиями, который имелся в командной строке с повышенными правами.
Обратите внимание, как только вы это сделаете, вам может быть трудно не запуск программы с повышенными правами. Любая программа, которую вы дважды щелкнете или откроете через ассоциацию файлов, будет также бежать на возвышении.
Предостережение
Если в Проводнике установлено значение «Запускать окна папок в отдельном процессе» (Параметры папки> Вид), окна папок не будут подниматься выше, даже если это происходит в основном процессе проводника. Обходной путь - отключить эту опцию, чтобы все окна папок были частью процесса проводника с повышенными правами.
Я не думаю, что отключать UAC или запускать всю оболочку Windows Explorer в повышенном режиме - не лучшая идея.
Вместо этого подумайте об использовании другого инструмента для управления файлами. Я думаю, что Explorer - не лучший инструмент для серьезной работы со многими файлами. Для этого лучше всего подходит программа с двумя соседними панелями.
Существует множество инструментов для замены Explorer, некоторые бесплатные, некоторые коммерческие. Все они могут быть запущены с повышенными правами, поэтому разрешения больше не являются проблемой. Вы даже можете использовать два разных. Один для обычного использования, один для расширенного административного использования.
Также многие из них работают портативно, поэтому вам не нужно их устанавливать, просто скопируйте несколько файлов и запустите его.
Я не рекомендую какой-то конкретный инструмент, это другой вопрос
Это тоже расстраивало меня, пока я не изучил, почему UAC прерывает мой просмотр папок, к которым у меня как администратора есть естественный доступ. Выход есть:
- Оставьте UAC включенным
- В списках управления доступом к папкам добавьте ACE, который дает принципу безопасности «ИНТЕРАКТИВНЫЙ» разрешения на просмотр папок и список содержимого папок.
Если вы добавите это в списки ACL папок, ваши администраторы смогут просматривать структуру папок, не получая приглашения UAC.
Похоже, это сделано специально. Смотрите эту ветку для получения дополнительной информации:
http://social.technet.microsoft.com/Forums/windows/en-US/1798a1a7-bd2e-4e42-8e98-0bc715e7f641/
Согласно плакату Андре Циглера в этой ветке:
Как я уже говорил вам, Windows 7 Explorer использует метод запуска на основе DCOM [sic], который не позволяет запускать проводник Windows с повышенными правами.
Одно из решений - использовать Explorer ++ бесплатный файловый менеджер. В Explorer ++ есть возможность отображать текущий уровень привилегий в строке заголовка, чтобы вы могли легко увидеть, работает ли он с повышенными правами.
Другое решение - использовать Nomad.NET, еще один приятный бесплатный файловый менеджер на основе .NET.
Используйте экземпляр PowerShell ISE с повышенными привилегиями. Диалоговое окно «Файл», которое он предоставляет, само по себе является расширенным, что дает вам возможность перемещаться по каталогам.
Я столкнулся с этой проблемой, подключая RDP к серверам, чтобы что-то на них делать.
Для меня это случай не делать этого. Я могу получить доступ к файлам из проводника в моей домашней системе, и это дает мне полный доступ.
\\ remote.com \ c $ Предоставляет мне все, что я хочу как администратор, без ограничений.
Остается проблема в том, что вы передаете файлы между системами во время работы с ними, но для небольших файлов. Мне все равно.
-Ларри
Несколько человек внесли свой вклад в то, что такое поведение является одним из пунктов UAC: заставить вас остановиться и подумать о том, что вы собираетесь делать. Один из ответов на это мнение, уже высказанное, состоит в том, что один раз спросить - нормально, но не каждый раз. не замужем. время. во время того, что может быть несколько затяжной процедурой. Это в некоторой степени аналогично нежеланию использовать ключ от дома каждый раз, когда вы переходите из одной комнаты в другую в доме.
Но я хочу указать на семантическую разницу между ситуацией OP и обычной ситуацией с запросом UAC: сообщение проводника с подсказкой «В настоящее время у вас нет прав на доступ к этой папке» концептуально не то же самое, что стандартное приглашение UAC.
Когда вы принимаете обычный запрос UAC, вы разрешаете программе запускаться с повышенными правами (то есть с учетными данными группы администраторов); это предоставление заканчивается, когда программа завершается. Единственный продолжительный эффект - это то, что программа могла сделать, когда она была повышена.
Когда вы нажимаете ОК, подсказка проводника появляется, когда вы пытаетесь исследовать папку, на просмотр которой у вас нет разрешения, значит, вы не запускаете ничего с повышенными правами. Вместо этого вы изменяете разрешения файловой системы (ACL), чтобы предоставить вашему пользователю полный доступ к папке. Мало того, что предоставленное разрешение намного шире, чем разрешения на чтение / просмотр папки, которые требуются для исследования, это разрешение по существу является постоянным (до тех пор, пока кто-то явно не удалит его), а не только на время посещения проводником папки.
Если бы приглашение на самом деле означало запуск проводника с использованием учетных данных группы администраторов, это было бы другим делом и гораздо более аналогично обычному запросу UAC (похоже, это то, что происходит, если вам предлагается использовать полномочия администратора для просмотра / редактирования разрешений в форму Дополнительные параметры безопасности). Это, конечно, будет работать только в том случае, если администраторы действительно имеют требуемый доступ, поскольку группа администраторов не имеет карт-бланш на обход разрешений файловой системы. Я не нашел хорошего объяснения этого, но в конечном итоге все, что группа администраторов, похоже, получает, это стандартное «разрешить полный контроль», а доступ к файлам не гарантирован, потому что его можно запретить с помощью явных разрешений «Запретить».
Кроме того, при тестировании разрешений доступа для этой статьи я заметил, что изменение владельца объекта иногда приводит к изменению записей ACL для встроенного участника OWNER (который имеет разные имена в зависимости от версии Windows), поэтому что они относятся к «Ничего», а не к одному из обычных вариантов (например, «эта папка»). Это происходило как минимум дважды с ACL, запрещающими доступ владельцу.
Еще одно наблюдение заключается в том, что очень сложно определить, какое поведение является простым поведением файловой системы, и какие украшения добавлены в пользовательский интерфейс, используемый для изменения разрешений (в данном случае форма Advanced Security Settings в проводнике Windows) . Например, в какой-то момент инструмент командной строки TAKEOWN мог (правильно) разрешить непривилегированному пользователю, которому случайно был предоставлен доступ «Take Ownership», стать владельцем папки, что в расширенных настройках безопасности настаивало на вводе учетных данных администратора перед выполнением этот.