Провідник Windows і UAC: запуск підвищений

Мене сильно дратує UAC і вимикаю його для свого адміністратора, куди можу. Однак є ситуації, коли я не можу, особливо якщо це машини, які не знаходяться під моїм постійним управлінням.

У цьому випадку я завжди переживаю завдання переходу каталогів за допомогою мого адміністративного користувача через Провідник Windows, коли постійні користувачі не мають дозволу "читати". Наразі можливі два підходи до цієї проблеми:

1. змінити ACL у відповідний каталог, щоб включити мого користувача (Windows зручно пропонує Continueкнопку в діалоговому вікні "Ви зараз не маєте дозволів на доступ до цієї папки" . Це, очевидно, відстій, оскільки частіше за все я не хочу змінювати ACL але просто загляньте у вміст папки

2. використовувати піднесений cmd.exe рядок разом із купою утиліт командного рядка - це зазвичай займає багато часу під час перегляду великих та / або складних структур каталогів

Мені б хотілося бачити спосіб запуску Windows Explorer у підвищеному режимі. Мені ще належить з’ясувати, як це зробити. Але й інші пропозиції, що вирішують цю проблему ненав'язливо, не змінюючи конфігурації всієї системи (а краще без необхідності завантажувати / встановлювати що-небудь), також дуже вітаються.

Я бачив цю публікацію з пропозицією зміни HKCR - цікавий, але це змінює поведінку для всіх користувачів, що мені заборонено робити в більшості ситуацій. Крім того, деякі люди пропонують використовувати шляхи UNC для доступу до папок - на жаль, це не працює, коли доступ до тієї ж машини (тобто \\localhost\c$\path), оскільки членство в групі "Адміністратори" все ще позбавлене маркера та повторної автентифікації (і, таким чином, створення нового маркера) не відбудеться під час доступу до localhost.

PRE-2012/8

(зображення та оригінальна ідея від http://kb.cadzow.com.au:15384/cadzow/details.aspx?Print=Y&ID=2343 )

1. Відкрийте адміністративний командний рядок.
2. Ctrl + Shift + Rt клацніть на Вимкнення в меню "Пуск".

3. Виберіть Exit Explorer
4. введіть explorerу командному рядку підвищений і натисніть клавішу Enter.

Провідник тепер запущений у піднесеному контексті, у якому був командний рядок підвищеного рівня.

2012/8

1. Відкрийте адміністративний командний рядок.
2. Запустіть диспетчер завдань та розгорніть More details
3. Клацніть Rt Windows Explorerта виберіть End task
4. Введіть у explorerкомандному рядку підвищені та натисніть клавішу Enter.

Провідник тепер запущений у піднесеному контексті, у якому був командний рядок підвищеного рівня.

Візьміть на замітку, щойно ви зробите це, можливо, вам буде важко не запускати програму. Будь-яка програма, яку ви двічі клацніть або відкриєте через асоціацію файлів, також буде працювати підвищеною.

Caveat

Якщо Explorer встановлено на "Запуск вікон папок в окремому процесі" (Параметри папок> Перегляд), вікна папок не будуть підвищені, навіть якщо основний процес провідника є. Обхід полягає в тому, щоб відключити цю опцію, щоб усі вікна папок були частиною підвищеного процесу провідника.

Я не думаю, що це гарна ідея вимкнути UAC або запустити всю оболонку Провідника Windows у підвищеному режимі.

Замість цього подумайте про використання іншого інструменту для управління файлами. Я думаю, що Explorer не є хорошим інструментом для серйозної роботи з багатьма файлами в будь-якому випадку. Для цього набагато краще підходить програма з двома панелями.

Є багато інструментів заміни Провідника, деякі безкоштовні, деякі комерційні. Усі вони можуть бути підвищеними, тому дозволи більше не є проблемою. Можливо, ви навіть хочете використовувати два різних. Один для звичайного використання, один для підвищеного адміністративного використання.

Також багато з них працюють з портативом, тому вам не потрібно їх встановлювати, просто скопіюйте кілька файлів і запустіть його.

Я не даю рекомендації щодо певного інструменту, це вже інше питання

Це також засмучувало мене, поки я не вивчав, чому UAC перериває мою обробку папок, до яких мені властивий доступ як адміністратор. Є рішення:

1. Залиште UAC включеним
2. У ACL-файли своєї папки додайте ACE, який надає принципу безпеки "ІНТЕРАКТИВНИЙ" дозволи на переміщення папок та перелік вмісту папки.

Якщо ви додасте це до ACL-файлів папки, ваші адміністратори зможуть переглядати структуру папок, не потрапляючи підказку UAC.

Це здається дизайном. Дивіться цю тему для отримання додаткової інформації:

http://social.technet.microsoft.com/Forums/windows/en-US/1798a1a7-bd2e-4e42-8e98-0bc715e7f641/

Відповідно до плаката Andre.Ziegler у цій темі:

Як я вже казав вам, Windows 7 Explorer використовує метод запуску на основі DCOM [sic], який не дозволяє вам запускати провідник Windows підвищеним.

Одне рішення - використовувати безкоштовний файловий менеджер Explorer ++ . У Explorer ++ є можливість відображати поточний рівень привілеїв у своєму заголовку, тому ви зможете легко побачити, чи працює він підвищеним.

Ще одне рішення - використовувати Nomad.NET , ще один хороший безкоштовний файловий менеджер на базі .NET.

Використовуйте підвищений екземпляр ISE PowerShell. Діалогове вікно "Файл" саме по собі підвищене, що дає вам можливість переходити до каталогів.

Я зіткнувся з цією проблемою RDPing на серверах, щоб робити їх на роботі.

Для мене це справа не робити цього. Я можу отримати доступ до файлів із Провідника в домашній системі, і це дає мені повний доступ.

\\ remote.com \ c $ Дозволяє мені без обмежень речей, які я хочу отримати як адміністратор.

Залишилося питання в тому, що ви передаєте файли між системами, працюючи над ними, але для невеликих файлів. Мені все одно.

-Ларі

Кілька людей внесли свій внесок у те, що така поведінка є одним із пунктів UAC: змусити вас зупинитися і подумати над тим, що ви збираєтеся робити. Одне відповідь на цю думку, вже заявлене, полягає в тому, що запитувати один раз добре, але не задавати кожному. неодружений час. під час того, що може бути дещо складеною процедурою. Це дещо аналогічно тому, що ви не хочете використовувати ключ свого будинку щоразу, коли ви переходите з однієї кімнати в іншу в будинку.

Але я хочу вказати на семантичну різницю між ситуацією з ОП та звичайною ситуацією підказок UAC: Повідомлення провідника з підказкою "Ви наразі не маєте дозволів на доступ до цієї папки", концептуально не є такою ж, як у стандартному запиті UAC.

Якщо ви підтвердите звичайний запит UAC, ви дозволяєте програмі запускати підвищені (тобто, з обліковими записами групи адміністраторів); це надання закінчується, коли програма припиняється. Єдиними тривалими наслідками є те, що програма може зробити під час підвищення.

Коли ви вподобаєте підказку провідника, видану під час спроби вивчення папки, на яку ви не маєте дозволу на перегляд, ви нічого не підвищуєте. Натомість ви змінюєте дозволи файлової системи (ACL), щоб надати власному користувачеві повний контроль доступу до папки. Отриманий дозвіл не тільки набагато ширший, ніж потрібні дозволи на папки читання / переходу, цей дозвіл є по суті постійним (поки хтось явно не видаляє його), а не лише протягом тривалості відвідування дослідником папки.

Якщо підказка насправді означала запуск провідника за допомогою облікових даних групи Адміністратори, це було б іншим питанням і набагато аналогічним звичайному запиту UAC (це, мабуть, станеться, якщо вам буде запропоновано використовувати повноваження адміністратора для перегляду / редагування дозволів у форму розширених налаштувань безпеки). Це, звичайно, працює лише в тому випадку, якщо адміністратори дійсно мали б необхідний доступ, оскільки група адміністраторів не має карт-бланшу, щоб обходити дозволи файлової системи. Я не знайшов хорошого пояснення цього, але, зрештою, вся група адміністраторів, схоже, отримує за замовчуванням "дозволити повний контроль", а доступ до файлів не гарантований, оскільки його можна відмовити за допомогою явних дозволів "Заборонити".

Як осторонь, під час тестування дозволів на доступ до цієї статті я зауважив, що зміна права власності на об'єкт час від часу змінює записи ACL для вбудованого принципу Власника (який під різними назвами залежить від версії Windows), що вони застосовуються до "Нічого", а не до одного із звичайних варіантів (наприклад, "цієї папки"). Щонайменше двічі це траплялося для ACL, які забороняють доступ до власника.

Ще одне спостереження полягає в тому, що дуже важко визначити, якою поведінкою є гола поведінка файлової системи, і які додані прикраси з інтерфейсу користувача, які використовуються для зміни дозволів (у цьому випадку Форма розширених налаштувань безпеки Windows Explorer) . Наприклад, в один момент інструмент командного рядка TAKEOWN (правильно) дозволить непривілейованому користувачеві, який трапився, отримати доступ "Взяти власність", щоб отримати право власності на папку, в якій розширені налаштування безпеки наполягали на тому, щоб ввести облікові дані адміністраторів перед тим, як робити це.