Windows文件夹权限，管理员和UAC，处理此问题的“正确”方法是什么？

8

我有一个具有权限的文件夹：

管理员（组）：完整。
J. Bloggs：完整。

我以Administrators组的成员身份登录。

我无法在资源管理器中打开该文件夹，因为“您没有权限”。

我怀疑这是因为由于UAC，除非您还以“管理员身份运行”，否则正常进程没有管理员权限令牌。但是我不能在Windows资源管理器中做到这一点，可以吗？

因此，我的选择似乎是：-单击该按钮以获取所有权（破坏所有权，在大文件夹上使用一段时间，无法解决其他管理员问题）-添加具有完全权限的每个管理员帐户，使其无需管理员令牌即可工作（管理一团糟，分组的意义是什么？

这是一个非常烦人的设计，我必须丢失一些东西。应该如何运作？管理员进入管理员有权访问的文件夹的“正确”方法是什么？

windows windows-server-2008 uac

— TessellatingHeckler
source

1

我认为只有当您以该计算机的本地管理员身份登录时，Explorer才能运行。

— 约翰

2

这是ms更新其有关在服务器上使用uac的安全建议的原因之一。 support.microsoft.com/kb/2526083-

— 托尼·罗斯

Tony，在接受UAC提示“追求更大的利益”这么长时间之后，听到Microsoft表示服务器端没有，也永远不可能有更大的好处，这让我感到完全惊讶。引号：“”“当所有管理用户的任务都需要管理权限，并且每个任务都可能触发高程提示时，这些提示仅是生产力的障碍。在这种情况下，此类提示不会并且不能促进鼓励开发的目标。需要标准用户权限“”“的应用程序。辉煌。MS批准关闭UAC！（在某些有限的情况下）。

— TessellatingHeckler

该语句“如果管理员在服务器上运行危险的应用程序（例如Web浏览器，电子邮件客户端或即时消息客户端），或者管理员执行应从客户端操作系统（例如Windows 7）执行的其他操作，则UAC也应保持启用状态。” 是所有这些的关键。

— Tony

您可以使用“提升的”特权运行Explorer，首先：（open Task Manager, go to details, kill the existing explorer running as your user.注意：“开始”菜单和文件夹等将消失），然后仍在任务管理器中：

Click File, Start New Process, Type Explorer, and select the "Run task with administrative privileges" checkbox, and hit OK

“开始”菜单将重新出现，您现在可以继续而无需提升每次您访问仅具有“管理用户”组权限的文件夹或文件。

— Ben Personick

4

解决方案是简单地远程管理服务器。仅当您访问本地系统时，管理员权限的UAC过滤才适用。

随着Server Core的发布，Microsoft一直强烈鼓励人们远程管理服务器，而不是直接连接到服务器以对其进行管理。

当然，如果您的网络非常小，则可能不可行，因此可以禁用UAC，或者调整文件系统权限，以便使用另一个组代替管理员来授予权限。

— Zoredache
source

例如。\\ localhost \ c $允许管理员以管理员身份查看？想想我以前看过这个。

— 约翰

但这根本不是解决方案，因为我没有以管理员身份登录到台式机。（我什至没有登录相同的域，并且它们之间没有信任关系）。

— TessellatingHeckler

您不必使用用于登录的凭据来访问远程系统。以管理员身份连接到远程系统。 net use \\server\share /user:adminuser。

— Zoredache

这是正确的一般答案，但是仍然有太多Microsoft和OEM服务器产品需要桌面交互才能有效地管理或重新配置它们。原始问题是有效的，并且需要针对“ Windows”服务器桌面的解决方案。奇怪的是，Microsoft的默认设置未授予所有本地用户访问权限以从根读取并创建所有内容，因此不支持此功能。我在建议的编辑中为@PaGeY的答案添加了很多细节，因此我希望他接受这一点，因为当前我认为这是无法进行核心管理员的最佳选择。

— 托尼·沃尔

6

最好的方法是定义一个包含您认为是该文件夹管理员的成员的新组。如果您具有AD域，则可以在AD中创建此组，然后将该组添加到（本地计算机的）Administrators组中，而不必管理两个组。

注意：如果您在本地尝试此操作，请记住您必须先注销然后重新登录才能使新权限生效。

— 约翰
source

我希望我早点考虑。这有点令人讨厌，但管理开销较低，并且不会破坏其他任何内容。

— TessellatingHeckler

1

这就是我们解决问题的方式。我们有“结算部门”，“ IT部门”等组。在单个文件夹的上下文中，比“域管理员”更有意义。

— 2014年

2

有两种方法可以轻松解决此限制：

使用您选择的文件管理器（例如，总指挥官）并以管理员身份运行（首选）
禁用资源管理器UAC限制：http : //www.msfn.org/board/topic/144776-unable-to-open-an-elevated-windows-explorer-window/

— 马丁·宾德
source

1

首先是您针对如何解决此问题提出了务实的建议，但这不是 Microsoft打算如何解决此问题的意图，这太可笑了。第二个既聪明又有趣，但是我没有在实时服务器上进行这种注册表绑定。

— TessellatingHeckler

0

在驱动器根目录授予名为“交互”的内置主体的读取/执行权限。然后，无需更改UAC。

这样，即使启用了UAC，人们也可以远程或“本地”登录桌面（VM控制台或物理屏幕和键盘），仍然可以浏览文件并运行程序。

例如，您可以删除默认的“用户可以从根目录读取并创建所有内容”权限，以明智地锁定服务器，但要避免无法以管理员身份有效地登录，浏览文件以及导航至要更改设置的位置。

一旦打开安全对话框并要更改权限，就会出现一个按钮，以管理员身份更改设置。因此，您可以两全其美：

对磁盘结构和内容的“本地”管理员/操作员浏览没有限制。
防止非管理员更改。

与标准权限的唯一区别是，我们并不是说只有本地“用户”帐户才能读取所有内容，而是只有被授予访问Windows控制台访问权限的人员，即，从逻辑上讲，意味着“物理”（或虚拟）“交互式”服务器访问，而不仅仅是授予任何人。除非有更好的方法来区分这些会话类型，否则这可能不适用于终端服务器（如果知道，则建议进行编辑）。

当然，第一个建议是尽可能使用服务器核心/远程管理员。但是，如果不这样做，这有助于避免常见的最终结果，即服务器最终将默认用户权限删除，并在各处应用了数十个个人用户帐户权限。管理员并不是真正的错，他们只是在尝试使用标准工具完成工作，而没有任何特殊的复杂性（通常使用File Explorer）。

该解决方案的另一个积极效果是，由于能够锁定根驱动器权限，并且仍然让服务器“可用”以供管理员登录到桌面，因此禁用继承以从上方删除不需要的权限的需求通常会消失。默认情况下，所有用户都可以在共享路径下读取和创建所需内容的事实，这是在没人希望处理“根”原因时禁用继承的常见原因；-)

— 佩吉
source

他需要一个更好的解释。

— 斯文

我建议进行详细的编辑，因为当需要台式机时，此答案非常好。我希望@PaGeY接受它。

— 托尼·沃尔

@TonyWall您可能应该考虑添加自己的答案。

— Zoredache

0

无法在资源管理器中打开文件夹，因为“您没有权限”。

我怀疑这是因为由于UAC，除非您还以“管理员身份运行”，否则正常进程没有管理员权限令牌。但是我不能在Windows资源管理器中做到这一点，可以吗？

是的，您可以使用特权提升运行资源管理器来解决您的问题！

为此，您必须：

打开 Task Manager
- 转到Details标签
- 杀死以Explorer.exe用户身份运行的现有“ ”。
  - 注意：您的开始菜单和文件夹等将会消失，这是正常现象
- 请点击 File
- 选择“ Start New Process”
  - 这会弹出一个“创建新任务”对话框。
- Explorer.exe在“打开：”下拉框中键入。
- 选中Checkbox“ Run task with administrative privileges” 旁边的
- 请点击 OK
  - 如果出现海拔提示，请单击accept。

瞧！

重新出现“开始”菜单，并且Windows资源管理器已升高！

您现在正在将资源管理器作为提升的进程运行，因此需要提升的所有资源管理器操作都将起作用，而无需每次都提升。

因此，您可以删除文件夹或遍历文件夹或检查权限或读取文件，而无需为每个单独的操作运行提升权限。

我遇到这个问题是因为我们使用管理员批准模式来提升权限而没有提示，但是对于删除文件夹和文件，有时是为了访问它们，当用户是本地管理员组的成员而不是拥有明确权限时，这会给我们造成麻烦资源管理器解决了该问题。

— 本·佩尼克（Ben Personick）
source