Eksplorator Windows i UAC: uruchom podniesiony

Jestem głęboko zirytowany przez UAC i wyłączam go dla mojego administratora, gdzie tylko mogę. Są jednak sytuacje, w których nie mogę - szczególnie jeśli są to maszyny, które nie podlegają mojej ciągłej administracji.

W takim przypadku zawsze mam problemy z przeglądaniem katalogów za pomocą mojego użytkownika administracyjnego za pośrednictwem Eksploratora Windows, w którym zwykli użytkownicy nie mają uprawnień do „odczytu”. Jak dotąd możliwe dwa podejścia do tego problemu:

1. zmień listy ACL na dany katalog, aby uwzględnić mojego użytkownika (system Windows dogodnie oferuje Continueprzycisk w oknie dialogowym „Nie masz obecnie uprawnień dostępu do tego folderu” . To oczywiście jest do bani, ponieważ częściej nie chcę zmieniać list ACL ale spójrz tylko na zawartość folderu

2. użyj wiersza polecenia cmd.exe wraz z szeregiem narzędzi wiersza poleceń - zwykle zajmuje to dużo czasu podczas przeglądania dużych i / lub złożonych struktur katalogów

Chciałbym zobaczyć sposób na uruchomienie Eksploratora Windows w trybie podniesionym. Muszę się jeszcze dowiedzieć, jak to zrobić. Ale mile widziane są również inne sugestie dotyczące rozwiązania tego problemu w dyskretny sposób bez zmiany konfiguracji całego systemu (i najlepiej bez potrzeby pobierania / instalowania czegokolwiek).

Widziałem ten post z sugestią zmiany HKCR - ciekawe, ale zmienia zachowanie wszystkich użytkowników, czego nie wolno mi robić w większości sytuacji. Ponadto niektórzy ludzie sugerują korzystanie ze ścieżek UNC w celu uzyskania dostępu do folderów - niestety nie działa to podczas uzyskiwania dostępu do tego samego komputera (tj. \\localhost\c$\path), Ponieważ członkostwo w grupie „Administratorzy” jest nadal usuwane z tokena i ponownego uwierzytelnienia (a zatem tworzenia nowego tokena) nie miałoby miejsca podczas uzyskiwania dostępu do hosta lokalnego.

PRE-2012/8

(zdjęcia i oryginalny pomysł z http://kb.cadzow.com.au:15384/cadzow/details.aspx?Print=Y&ID=2343 )

1. Otwórz administracyjny wiersz polecenia.
2. Ctrl + Shift + Rt-kliknij Shutdown w menu Start.

3. Wybierz Exit Explorer
4. wpisz explorerw wierszu polecenia z podwyższonym poziomem uprawnień i naciśnij enter.

Eksplorator działa teraz w podwyższonym kontekście, który miał wiersz polecenia z podwyższonym poziomem uprawnień.

2012/8

1. Otwórz administracyjny wiersz polecenia.
2. Uruchom menedżera zadań i rozwiń More details
3. Kliknij Rt Windows Exploreri wybierz End task
4. Wpisz w explorerwierszu polecenia z podwyższonym poziomem uprawnień i naciśnij enter.

Eksplorator działa teraz w podwyższonym kontekście, który miał wiersz polecenia z podwyższonym poziomem uprawnień.

Należy wziąć pod uwagę, gdy to zrobisz możesz mieć twardy czas nie działa program podwyższone. Każdy program, który klikniesz dwukrotnie lub otworzysz przez powiązanie pliku, również będzie działał z podwyższonym poziomem uprawnień.

Zastrzeżenie

Jeśli Eksplorator jest ustawiony na „Uruchamianie okien folderów w oddzielnym procesie” (Opcje folderów> Widok), okna folderów nie zostaną podniesione, nawet jeśli główny proces eksploratora jest. Obejściem jest wyłączenie tej opcji, aby wszystkie okna folderów były częścią podwyższonego procesu eksploratora.

Nie sądzę, że dobrym pomysłem jest wyłączenie UAC lub uruchomienie całej powłoki Eksploratora Windows w trybie podwyższonego poziomu.

Zamiast tego pomyśl o użyciu innego narzędzia do zarządzania plikami. Myślę, że Explorer nie jest dobrym narzędziem do wykonywania poważnej pracy z wieloma plikami. Program z dwoma panelami obok siebie jest znacznie bardziej odpowiedni do tego.

Istnieje wiele narzędzi zastępujących Explorer, niektóre bezpłatne, niektóre komercyjne. Wszystkie z nich można uruchamiać z podwyższonym poziomem uprawnień, więc uprawnienia nie stanowią już problemu. Możesz nawet użyć dwóch różnych. Jeden do normalnego użytkowania, drugi do podwyższonego użytku administracyjnego.

Wiele z nich działa również na urządzeniach przenośnych, więc nie musisz ich instalować, po prostu skopiuj kilka plików i uruchom je.

Nie robię rekomendacji dla konkretnego narzędzia, to inne pytanie

Było to dla mnie frustrujące, dopóki nie przestudiowałem, dlaczego UAC przerywa moje przechodzenie do folderów, do których mam dostęp jako administrator. Istnieje rozwiązanie:

1. Pozostaw UAC włączony
2. Do list ACL folderów dodaj pozycję ACE, która daje zasadzie bezpieczeństwa „INTERAKTYWNE” uprawnienia do przeglądania folderów i wyświetlania listy folderów.

Jeśli dodasz to do list ACL folderów, Twoi administratorzy będą mogli przeglądać strukturę folderów bez konieczności uzyskiwania odpowiedzi na monit UAC.

To wydaje się być zgodne z projektem. Zobacz ten wątek, aby uzyskać więcej informacji:

http://social.technet.microsoft.com/Forums/windows/en-US/1798a1a7-bd2e-4e42-8e98-0bc715e7f641/

Według plakatu Andre.Ziegler w tym wątku:

Jak już powiedziałem, Eksplorator Windows 7 używa metody startowej opartej na DCOM [sic], która uniemożliwia uruchomienie podwyższonej wersji Eksploratora Windows.

Jednym z rozwiązań jest użycie darmowego menedżera plików Explorer ++ . Explorer ++ ma opcję pokazania aktualnego poziomu uprawnień na pasku tytułu, dzięki czemu można łatwo sprawdzić, czy jest on podniesiony.

Innym rozwiązaniem jest użycie Nomad.NET , kolejnego fajnego darmowego menedżera plików opartego na .NET.

Użyj podwyższonej instancji PowerShell ISE. Okno dialogowe Plik, które udostępnia, jest samo w sobie podniesione, co umożliwia przechodzenie przez katalogi.

Natknąłem się na ten problem RDPing na serwery, aby coś na nich zrobić.

Dla mnie jest to przypadek, aby tego nie robić. Mogę uzyskać dostęp do plików z Eksploratora w moim systemie domowym i daje mi to pełny dostęp.

\\ remote.com \ c $ Dostaje mnie do rzeczy, które chcę jako administrator bez ograniczeń.

Pozostały problem polega na tym, że przenosisz pliki między systemami podczas pracy nad nimi, ale w przypadku małych plików. Nie obchodzi mnie to.

-Larry

Kilka osób przyczyniło się do tego, że takie zachowanie jest jednym z punktów ZAK: abyś przestał myśleć o tym, co masz zamiar zrobić. Jedną z odpowiedzi na ten pogląd, jak już wspomniano, jest to, że pytanie raz jest w porządku, ale nie każde pytanie. pojedynczy. czas. w trakcie nieco przeciągniętej procedury. Jest to trochę analogiczne do tego, że nie trzeba używać klucza do domu za każdym razem, gdy przechodzisz z jednego pokoju do drugiego w domu.

Chciałbym jednak zwrócić uwagę na różnicę semantyczną między sytuacją OP a zwykłą sytuacją monitowania UAC: Komunikat eksploratora z pytaniem „Nie masz obecnie uprawnień dostępu do tego folderu” nie jest koncepcyjnie taki sam jak standardowy monit UAC.

Po zatwierdzeniu zwykłego żądania UAC zezwalasz na uruchamianie programu z podwyższonym poziomem uprawnień (to znaczy z poświadczeniami grupy Administratorzy); to przyznanie kończy się wraz z zakończeniem programu. Jedynymi trwałymi efektami są wszystko, co program mógł zrobić przy podwyższonym poziomie.

Po zatwierdzeniu monitu eksploratora wyświetlanego podczas próby eksploracji w folderze, do którego przeglądania nie masz uprawnień, nie uruchamiasz niczego podniesionego. Zamiast tego zmieniasz uprawnienia systemu plików (ACL), aby przyznać swojemu użytkownikowi pełną kontrolę dostępu do folderu. Przyznane uprawnienie jest nie tylko znacznie szersze niż uprawnienia do odczytu / przeglądania folderu, których wymaga eksploracja, ale jest ono zasadniczo trwałe (dopóki ktoś go wyraźnie nie usunie), a nie tylko na czas wizyty eksploratora w folderze.

Jeśli pytanie rzeczywiście oznaczało uruchomienie eksploratora przy użyciu poświadczeń grupy Administratorzy, byłaby to inna sprawa i znacznie bardziej analogiczna do zwykłego pytania UAC (wydaje się, że tak się dzieje, jeśli zostaniesz poproszony o użycie uprawnień Administratora do przeglądania / edytowania uprawnień w formularz Zaawansowane ustawienia zabezpieczeń). Działałoby to oczywiście tylko wtedy, gdy Administratorzy faktycznie mieli wymagany dostęp, ponieważ grupa Administratorzy nie ma carte blanche w celu ominięcia uprawnień systemu plików. Nie znalazłem dobrego wyjaśnienia tego, ale ostatecznie cała grupa Administratorzy wydaje się, że domyślnie „zezwól na pełną kontrolę”, a dostępu do plików nie można zapewnić, ponieważ można odmówić, używając jawnych uprawnień „Odmów”.

Nawiasem mówiąc, podczas testowania uprawnień dostępu do tego artykułu zauważyłem, że zmiana własności obiektu czasami zmienia wpisy ACL dla wbudowanej nazwy głównej OWNER (która pod różnymi nazwami w zależności od wersji Windows), więc że dotyczą one „Nic”, a raczej jednej ze zwykłych opcji (np. „ten folder”). Wystąpiło to co najmniej dwa razy w przypadku list ACL, które odmawiają dostępu do właściciela.

Innym spostrzeżeniem jest to, że bardzo trudno jest ustalić, jakie zachowanie jest nagim zachowaniem systemu plików, a co dodaje się ozdoby z interfejsu użytkownika używanego do modyfikowania uprawnień (w tym przypadku forma zaawansowanych ustawień zabezpieczeń Eksploratora Windows) . Na przykład w jednym momencie narzędzie wiersza polecenia TAKEOWN (poprawnie) umożliwiłoby nieuprzywilejowanemu użytkownikowi, któremu akurat przyznano dostęp „Przejęcie na własność”, przejęcie własności folderu, co zgodnie z Zaawansowanymi ustawieniami zabezpieczeń wymagało wprowadzenia poświadczeń Administratorów przed wykonaniem to.