Права доступа к папкам Windows, администраторы и UAC, как «правильно» справиться с этим?

8

У меня есть папка с разрешениями:

  • Администраторы (группа): Полный.
  • Дж. Блоггс: Полный.

Я вошел как участник группы администраторов.

Я не могу открыть папку в Проводнике, потому что «у вас нет разрешения».

Я подозреваю, что это связано с тем, что обычные процессы не имеют токена разрешения администратора из-за UAC, если только вы не «работаете от имени администратора». Но я не могу сделать это для Windows Explorer, не так ли?

Таким образом, мои варианты выглядят так: - Нажмите кнопку, чтобы стать владельцем (разрушает владение, уходит на большие папки, не решает другие администраторы) - Добавить каждую отдельную учетную запись администратора с полными разрешениями, чтобы она работала без маркера администратора (административный токен беспорядок, какой смысл в группах)

Это действительно раздражающий дизайн, я должен что-то упустить. Как это должно работать? Каков «правильный» способ для администратора попасть в папку, к которой у администраторов есть доступ?

windows windows-server-2008 uac TessellatingHeckler
источник
1
Я думаю , что Проводник работает только повышенные , когда вы вошли в систему с правами локального администратора на этой машине.
Джон
2
Это одна из причин, почему MS обновил свои рекомендации по безопасности при использовании UAC на серверах. support.microsoft.com/kb/2526083
Тони Рот
Тони, для меня это полный сюрприз, после того, как так долго мириться с запросами UAC «для блага», услышать, как Microsoft говорит, что нет и не может быть большего блага на стороне сервера. Цитата: "" "Когда для всех задач пользователя-администратора требуются права администратора, и каждая задача может вызывать запрос на повышение прав, эти запросы являются лишь препятствием для производительности. В этом контексте такие запросы не способствуют и не могут способствовать цели поощрения разработки приложения, требующие стандартных прав пользователя "" ". Brilliant. Одобрение MS выключить UAC! (в определенных, ограниченных ситуациях).
TessellatingHeckler
это утверждение «UAC также должен оставаться включенным, если администраторы запускают на сервере опасные приложения, такие как веб-браузеры, почтовые клиенты или клиенты обмена мгновенными сообщениями, или администраторы выполняют другие операции, которые должны выполняться из клиентской операционной системы, такой как Windows 7.» это ключ ко всему этому.
Тони Рот
Вы МОЖЕТЕ запустить Проводник с повышенными привилегиями, сначала: open Task Manager, go to details, kill the existing explorer running as your user.(Примечание: ваше меню «Пуск», папки и т. Д. Исчезнут), затем, все еще в диспетчере задач: Click File, Start New Process, Type Explorer, and select the "Run task with administrative privileges" checkbox, and hit OKснова появится меню «Пуск», теперь вы можете продолжать, не повышая уровень каждый раз, когда вы получаете доступ к папке или файлу, доступ к которому у вас есть, только через группу «Административные пользователи».
Бен

Ответы:

4

Решение состоит в том, чтобы просто управлять сервером удаленно. UAC-фильтрация прав администратора применяется только при доступе к локальной системе.

С выпуском Server Core Microsoft настоятельно рекомендует людям удаленно администрировать серверы, а не подключаться к ним напрямую для управления ими.

Конечно, если у вас действительно небольшая сеть, это может быть неосуществимо, поэтому отключение UAC - это нормально, или настройку разрешений файловой системы так, чтобы вместо администраторов использовалась другая группа для предоставления разрешений.

Zoredache
источник
Так бы, например. \\ localhost \ c $ разрешить администраторам просматривать как администратор? Думаю, я видел это сделано раньше.
Джон
Но это совсем не решение, потому что я не вошел в систему как администратор на моем рабочем столе. (Я даже не вошел в тот же домен, и между ними нет доверительных отношений)).
TessellatingHeckler
Вам не нужно обращаться к удаленной системе, используя учетные данные, которые вы использовали для входа в систему. Подключитесь к удаленной системе как администратор. net use \\server\share /user:adminuser,
Зоредаче
Это правильный общий ответ, но все еще слишком много серверных продуктов Microsoft и OEM, которым требуется взаимодействие с рабочим столом для их эффективного управления или перенастройки. Оригинальный вопрос является действительным, и решение для рабочего стола сервера "Windows" не требуется. Странно, что настройки по умолчанию Microsoft не поддерживают это, не предоставляя всем локальным пользователям доступ для чтения и создания всего из корня. Я добавил много подробностей в предлагаемое изменение к ответу от @PaGeY, поэтому я надеюсь, что он согласится с этим, потому что в настоящее время я считаю, что это лучшая альтернатива, когда основной администратор невозможен.
Тони Уолл
6

Лучший способ - определить новую группу, содержащую участников, которых вы считаете администраторами этой папки. Если у вас есть домен AD, вы можете создать эту группу в AD, а затем добавить эту группу в группу администраторов (локального компьютера) и избежать необходимости администрировать две группы.

Примечание. Если вы пытаетесь сделать это локально, помните, что вы должны выйти и снова войти, чтобы новые разрешения вступили в силу.

Джон
источник
Хотел бы я подумать об этом раньше. Это слегка раздражает, но низкие административные издержки и вряд ли что-то сломают.
TessellatingHeckler
1
Так мы решили проблему. У нас есть такие группы, как «Billing-Dept», «IT-Dept» и т. Д. Имеет гораздо больше смысла в контексте одной папки, чем «Domain Admins».
Дан
2

Есть два варианта, чтобы обойти это ограничение легко:

Мартин Биндер
источник
1
Первый - это прагматичное предложение от вас, как обойти это, но не может быть намерения Microsoft о том, как с этим бороться, это было бы смешно. Второй - умный и интересный, но я не делаю подобную регистрацию на живых серверах.
TessellatingHeckler
0

Предоставьте разрешение «Чтение / выполнение» в корневом каталоге диска встроенному принципалу «Интерактивный». Тогда никаких изменений в UAC не требуется.

Диалоговое окно прав доступа к интерактивному диску.

Таким образом, люди, вошедшие на рабочий стол удаленно или «локально» (консоль ВМ или физический экран и клавиатура), могут по-прежнему просматривать файлы и запускать программы даже с включенным контролем учетных записей.

Например, вы можете удалить стандартное разрешение «Пользователи могут читать и создавать все из корня», чтобы разумно заблокировать сервер, но избежать невозможности эффективного входа в систему, просмотра файлов и перехода туда, где вы хотите изменить настройки как администратор.

Как только вы откроете диалоговое окно безопасности и захотите изменить разрешения, появится кнопка для изменения настроек от имени администратора. Таким образом, вы получаете лучшее из обоих миров:

  1. Нет ограничений на "локальный" просмотр администратором / оператором структуры и содержимого дисков.
  2. Защита от изменений не-администраторами.

Единственное отличие от стандартных разрешений состоит в том, что мы не говорим, что только локальные учетные записи «Пользователи» могут читать все, но только люди получили доступ к консоли Windows, то есть это логически означает «физический» (или виртуальный) «интерактивный» доступ к серверу. , который не просто предоставлен никому. Это может не работать на терминальных серверах, если нет лучшего способа различить эти типы сеансов (предложите изменить, если вы это знаете).

Конечно, первый совет - по возможности использовать ядро ​​сервера / удаленного администратора. Но когда это не так, это помогает избежать общего конечного эффекта того, что сервер, на котором права пользователей по умолчанию удаляются, в конечном итоге с десятками разрешений личных учетных записей, применяемых повсеместно. И это не совсем вина администратора, они просто пытаются выполнять свою работу с помощью стандартных инструментов без какой-либо особой сложности (просто используйте File Explorer обычно).

Еще один положительный эффект этого решения заключается в возможности заблокировать разрешения для корневого диска и, тем не менее, при наличии сервера, «пригодного для использования» для администратора, подключенного к рабочему столу, необходимость отключения наследования для удаления нежелательных разрешений сверху часто исчезает. Тот факт, что все пользователи могут читать и создавать все, что им нужно, ниже вашего общего пути по умолчанию, является общей причиной отключения наследования, когда никто не хочет иметь дело с «первопричиной» ;-)

Пейджи
источник
Ему нужно лучшее объяснение.
Свен
Я предложил редактирование с полной информацией, потому что этот ответ довольно хорош, когда необходим рабочий стол. Я надеюсь, что @PaGeY примет это.
Тони Уолл
@TonyWall, вероятно, стоит подумать о добавлении собственного ответа.
Зоредаче
0

не могу открыть папку в Проводнике, потому что «у вас нет разрешения».

Я подозреваю, что это связано с тем, что обычные процессы не имеют токена разрешения администратора из-за UAC, если только вы не «работаете от имени администратора». Но я не могу сделать это для Windows Explorer, не так ли?

Да, вы МОЖЕТЕ запустить Explorer с повышенными привилегиями для решения вашей проблемы!

Для этого вы должны:

  • открытый Task Manager
    • Перейти на Detailsвкладку
    • Убейте существующего " Explorer.exe", работающего от вашего имени.
      • Примечание: меню «Пуск», папки и т. Д. Исчезнут, это нормально.
    • щелчок File
    • Выберите " Start New Process"
      • Появляется диалоговое окно «Создать новую задачу».
    • Введите Explorer.exeв раскрывающемся списке «Открыть:».
    • Отметьте « CheckboxДалее Run task with administrative privileges»
    • щелчок OK
      • Если появится запрос на повышение прав, нажмите accept.

Вуаля!

Ваше меню «Пуск» появится снова, а проводник Windows повысится!

Теперь вы запускаете проводник с повышенными правами, поэтому любые действия обозревателя, требующие повышения прав, будут выполняться без повышения уровня каждый раз.

Таким образом, вы можете удалить папку, просмотреть папку, проверить разрешения или прочитать файл без необходимости повышать уровень для каждого отдельного действия.

Я столкнулся с этим, потому что мы используем режим одобрения администратором для повышения уровня без запроса, однако для удаления папок и файлов, а иногда и для доступа к ним, это вызывает у нас проблемы, когда пользователь является членом группы локального администратора вместо того, чтобы иметь явные разрешения, повышая Исследователь решил эту проблему.

Бен Персоник
источник