Проводник Windows и UAC: запуск с повышенными правами

Я очень раздражен UAC и отключаю его для моего администратора, где только могу. Тем не менее, бывают ситуации, когда я не могу, особенно если это машины, которые не находятся под моим постоянным управлением.

В этом случае передо мной всегда стоит задача обхода каталогов с использованием моего администратора с помощью проводника Windows, где обычные пользователи не имеют разрешений на «чтение». Возможные два подхода к этой проблеме пока:

1. измените ACL на соответствующий каталог, чтобы включить моего пользователя (Windows удобно предлагает Continueкнопку в диалоговом окне «В настоящее время у вас нет прав доступа к этой папке» . Это очевидно отстой, так как чаще всего я не хочу менять ACL но просто посмотрите на содержимое папки

2. используйте команду с повышенными правами cmd.exe вместе с набором утилит командной строки - это обычно занимает много времени при просмотре больших и / или сложных структур каталогов

Я хотел бы увидеть способ запуска Проводника Windows в режиме повышенных прав. Я еще не выяснил, как это сделать. Но другие предложения, решающие эту проблему ненавязчивым способом без изменения всей конфигурации системы (и, предпочтительно, без необходимости загрузки / установки чего-либо), также приветствуются.

Я видел этот пост с предложением изменить HKCR - интересно, но он меняет поведение всех пользователей, что мне не разрешено делать в большинстве ситуаций. Кроме того, некоторые люди предложили использовать UNC-пути для доступа к папкам - к сожалению, это не работает при доступе к тому же компьютеру (то есть \\localhost\c$\path), когда членство в группе «Администраторы» все еще удаляется из токена и повторной аутентификации (и, следовательно, создание нового токена) не будет происходить при доступе к localhost.

PRE-2012/8

(изображения и оригинальная идея с http://kb.cadzow.com.au:15384/cadzow/details.aspx?Print=Y&ID=2343 )

1. Откройте административную командную строку.
2. Ctrl + Shift + Rt-клик по выключению в меню «Пуск».

3. Выберите Exit Explorer
4. введите explorerв командной строке с повышенными правами и нажмите Enter.

Проводник теперь запущен в контексте с повышенными правами, как в командной строке с повышенными правами.

2012/8

1. Откройте административную командную строку.
2. Запустите диспетчер задач и разверните его More details
3. Нажмите Windows Explorerи удерживайте клавишу Rt и выберите End task
4. Введите в explorerкомандной строке с повышенными привилегиями и нажмите ввод.

Проводник теперь запущен в контексте с повышенными правами, как в командной строке с повышенными правами.

Обратите внимание, что, как только вы это сделаете, вам может быть трудно не запускать программу с повышенными правами. Любая программа, которую вы дважды щелкнете или откроете с помощью ассоциации файлов, также будет работать с повышенными правами.

Предостережение

Если для проводника установлено значение «Запускать окна папок в отдельном процессе» («Параметры папки»> «Вид»), окна папок не будут подняты, даже если основной процесс проводника установлен. Обходной путь - отключить эту опцию, чтобы все окна папок были частью процесса обозревателя с повышенными правами.

Я не думаю, что это хорошая идея, чтобы отключить UAC или запустить всю оболочку Windows Explorer в повышенном режиме.

Вместо этого подумайте об использовании другого инструмента для управления файлами. Я думаю, что Explorer - не очень хороший инструмент для серьезной работы со многими файлами. Программа с двумя панелями бок о бок гораздо лучше подходит для этого.

Существует множество инструментов для замены Explorer, некоторые бесплатные, некоторые коммерческие. Все они могут быть запущены с повышенными правами, поэтому разрешения больше не являются проблемой. Вы даже можете использовать два разных. Один для обычного использования, один для повышенного административного использования.

Также многие из них работают переносимыми, поэтому вам не нужно их устанавливать, просто скопируйте несколько файлов и запустите его.

Я не даю рекомендации по конкретному инструменту, это другой вопрос

Это также расстраивало меня, пока я не изучил, почему UAC прерывает мой обход папок, к которым у меня есть права администратора. Есть решение:

1. Оставьте UAC включенным
2. В ACL вашей папки добавьте ACE, который дает принципу безопасности «ИНТЕРАКТИВНЫЙ» разрешения на просмотр папок и список содержимого папок.

Если вы добавите это в ACL для папок, ваши администраторы смогут просматривать структуру папок, не получая подсказки UAC.

Похоже, что это по замыслу. Смотрите эту ветку для получения дополнительной информации:

http://social.technet.microsoft.com/Forums/windows/en-US/1798a1a7-bd2e-4e42-8e98-0bc715e7f641/

Согласно постеру Андреа Циглера в этой теме:

Как я уже говорил, в Windows 7 Explorer используется метод запуска на основе DCOM [sic], который не позволяет запускать Windows Explorer с повышенными правами.

Одним из решений является использование бесплатного файлового менеджера Explorer ++ . Explorer ++ имеет возможность показать текущий уровень привилегий в строке заголовка, чтобы вы могли легко увидеть, работает ли он с повышенными правами.

Другое решение - использовать Nomad.NET , еще один бесплатный файловый менеджер на основе .NET.

Используйте повышенный экземпляр PowerShell ISE. Диалоговое окно «Файл» само по себе является возвышенным, что дает вам возможность просматривать каталоги.

Я столкнулся с этой проблемой RDPing на серверах, чтобы сделать что-то на них.

Для меня это случай не делай этого. Я могу получить доступ к файлам из проводника в моей домашней системе, и это дает мне полный доступ.

\\ remote.com \ c $ Получает меня без всяких ограничений.

Оставшаяся проблема заключается в том, что вы передаете файлы между системами во время работы над ними, но для небольших файлов. Мне все равно

-Larry

Несколько человек заявили, что такое поведение является одним из пунктов UAC: заставить вас остановиться и подумать о том, что вы собираетесь делать. Один ответ на эту точку зрения, уже заявленный, состоит в том, что спросить один раз - это хорошо, но не каждый. Один. время. во время того, что может быть несколько затянутой процедурой. Это похоже на то, что вам не нужно использовать ключ от дома каждый раз, когда вы переходите из одной комнаты в другую в доме.

Но я хочу отметить семантическое различие между ситуацией OP и обычной ситуацией с приглашением UAC: сообщение проводника с приглашением «У вас нет прав доступа к этой папке» концептуально не совпадает со стандартным приглашением UAC.

Когда вы подтверждаете обычный запрос UAC, вы разрешаете программе запускаться с повышенными правами (то есть с учетными данными группы «Администраторы»); это предоставление заканчивается, когда программа заканчивается. Единственные длительные эффекты - это то, что программа могла сделать, когда была повышена.

Когда вы в порядке, появится приглашение проводника, когда вы пытаетесь исследовать папку, для которой у вас нет прав на просмотр, вы не запускаете ничего с повышенными правами. Вместо этого вы изменяете разрешения файловой системы (ACL), чтобы предоставить вашему пользователю полный доступ к папке. Предоставленное разрешение не только намного шире, чем разрешения для чтения / обхода папки, которые требуются для исследования, но и является по сути постоянным (до тех пор, пока кто-то явно не удаляет его), а не только на время посещения проводником этой папки.

Если в действительности приглашение означало запуск проводника с использованием учетных данных группы «Администраторы», это было бы другим делом и намного более аналогично обычному приглашению UAC (похоже, именно это и происходит, если вам предлагается использовать полномочия администратора для просмотра / редактирования разрешений в Форма расширенных настроек безопасности). Это, конечно, будет работать только в том случае, если администраторы действительно имеют требуемый доступ, поскольку у группы администраторов нет карт-бланша для обхода разрешений файловой системы. Я не нашел хорошего объяснения этому, но в конечном итоге, похоже, что вся группа «Администраторы» получает по умолчанию «разрешить полный контроль», и доступ к файлу не гарантирован, потому что его можно запретить, используя явные разрешения «Запретить».

Кроме того, при тестировании разрешений на доступ для этой статьи я заметил, что изменение владельца объекта иногда изменяет записи ACL для встроенного участника OWNER (который проходит под различными именами в зависимости от версии Windows), поэтому что они относятся к «Nothing», а не к одному из обычных вариантов (например, «this folder»). Это произошло, по крайней мере, дважды с ACL, которые запрещают доступ владельцу.

Еще одно наблюдение состоит в том, что очень трудно определить, какое поведение представляет собой простое поведение файловой системы, и какие дополнительные украшения из пользовательского интерфейса используются для изменения разрешений (в этом случае форма расширенных параметров безопасности проводника Windows) , Например, в какой-то момент инструмент командной строки TAKEOWN (правильно) позволил бы непривилегированному пользователю, которому предоставлено право «взять на себя владение», получить право владения папкой, что, как указывалось в расширенных параметрах безопасности, перед вводом учетных данных администраторов этот.