Izin folder Windows, Administrator dan UAC, apa cara "benar" untuk menangani ini?

8

Saya memiliki folder dengan izin:

  • Administrator (grup): Penuh.
  • J. Bloggs: Penuh.

Saya masuk sebagai anggota grup Administrators.

Saya tidak dapat membuka folder di Explorer karena "Anda tidak memiliki izin".

Saya menduga ini karena proses normal tidak memiliki token izin administrator karena UAC, kecuali jika Anda juga 'menjalankan sebagai administrator'. Tapi saya tidak bisa melakukan itu untuk Windows Explorer, bukan?

Jadi sepertinya pilihan saya adalah: - Klik tombol untuk mengambil kepemilikan (reruntuhan kepemilikan, memakan waktu lama di folder besar, tidak menyelesaikan administrator lain) - Tambahkan setiap akun administrator individu dengan izin penuh sehingga berfungsi tanpa token admin (administrasi berantakan, apa gunanya dalam kelompok)

Ini adalah desain yang sangat menjengkelkan, saya pasti kehilangan sesuatu. Bagaimana cara kerjanya? Apa cara yang 'benar' bagi administrator untuk masuk ke folder yang dapat diakses oleh administrator?

windows windows-server-2008 uac TessellatingHeckler
sumber
1
Saya pikir Explorer hanya berjalan meningkat ketika Anda login sebagai yang administrator lokal mesin itu.
john
2
Ini adalah salah satu alasan mengapa MS memperbarui rekomendasi keamanan mereka tentang penggunaan uac di server. support.microsoft.com/kb/2526083
tony roth
Tony, itu benar-benar kejutan bagi saya, setelah begitu lama memasang UAC meminta "untuk kebaikan yang lebih besar", untuk mendengar Microsoft mengatakan tidak ada, dan tidak pernah bisa , ada kebaikan yang lebih besar di sisi server. Kutipan: "" "Ketika semua tugas pengguna administratif memerlukan hak administratif, dan setiap tugas dapat memicu peningkatan elevasi, prompt hanya merupakan penghalang produktivitas. Dalam konteks ini, prompt seperti itu tidak dan tidak dapat mempromosikan tujuan mendorong pengembangan aplikasi yang membutuhkan hak pengguna standar "" ". Cemerlang. Persetujuan MS untuk mematikan UAC! (dalam situasi tertentu, terbatas).
TessellatingHeckler
pernyataan ini "UAC juga harus tetap diaktifkan jika administrator menjalankan aplikasi berisiko di server seperti browser web, klien email, atau klien pesan instan, atau administrator melakukan operasi lain yang harus dilakukan dari sistem operasi klien seperti Windows 7." adalah kunci dari semua ini.
tony roth
Anda BISA menjalankan Explorer dengan hak istimewa yang Ditinggikan, Pertama: open Task Manager, go to details, kill the existing explorer running as your user.(Catatan: menu mulai Anda dan folder, dll. Akan menghilang), kemudian, masih dalam task manager: Click File, Start New Process, Type Explorer, and select the "Run task with administrative privileges" checkbox, and hit OKMenu Start Anda akan muncul kembali, Anda sekarang dapat melanjutkan tanpa perlu menaikkan setiap kali Anda mengakses folder atau file yang Anda memiliki izin hanya melalui grup pengguna Administratif.
Ben Personick

Jawaban:

4

Solusinya adalah dengan mengelola server dari jarak jauh. Pemfilteran UAC untuk hak administrator hanya berlaku ketika Anda mengakses sistem lokal.

Dengan dirilisnya Server Core, Microsoft telah sangat mendorong orang untuk mengelola server dari jarak jauh alih-alih menyambungkannya secara langsung untuk mengelolanya.

Tentu saja jika Anda memiliki jaringan yang sangat kecil ini mungkin tidak layak, jadi menonaktifkan UAC baik-baik saja, atau menyesuaikan izin sistem file sehingga grup lain digunakan alih-alih administrator untuk memberikan izin.

Sakit kepala
sumber
Begitu juga misalnya. \\ localhost \ c $ izinkan administrator untuk melihat sebagai administrator? Saya pikir saya pernah melihat ini dilakukan sebelumnya.
john
Tapi itu sama sekali bukan solusi, karena saya tidak masuk sebagai administrator di desktop saya. (Saya bahkan belum masuk di domain yang sama, dan tidak ada hubungan saling percaya di antara mereka)).
TessellatingHeckler
Anda tidak harus mengakses sistem jarak jauh menggunakan kredensial yang Anda gunakan untuk masuk. Sambungkan ke sistem jarak jauh sebagai administrator. net use \\server\share /user:adminuser.
Zoredache
Ini adalah jawaban umum yang benar tetapi masih terlalu banyak produk server Microsoft dan OEM yang memerlukan interaksi desktop untuk mengelola atau mengkonfigurasi ulang mereka secara efektif. Pertanyaan asli valid dan solusi untuk desktop server "Windows" diperlukan. Sungguh aneh bahwa default Microsoft tidak mendukung ini tanpa memberikan semua pengguna lokal akses untuk membaca dan membuat semuanya dari root. Saya menambahkan banyak detail dalam sunting yang disarankan untuk jawaban dari @PaGeY jadi saya harap dia menerimanya karena saat ini saya percaya itu alternatif terbaik ketika admin inti tidak mungkin.
Tony Wall
6

Cara terbaik adalah mendefinisikan grup baru yang berisi anggota yang Anda anggap sebagai administrator folder itu. Jika Anda memiliki domain AD, Anda dapat membuat grup ini dalam AD dan kemudian menambahkan grup itu ke grup Administrator (dari mesin lokal) dan menghindari keharusan mengelola dua grup.

Catatan: Jika Anda mencoba ini secara lokal, ingatlah Anda harus keluar dan kembali lagi agar izin baru berlaku.

john
sumber
Saya berharap saya mempertimbangkan ini lebih cepat. Agak menyebalkan, tetapi overhead administrasi rendah dan tidak mungkin merusak hal lain.
TessellatingHeckler
1
Inilah cara kami memecahkan masalah. Kami memiliki grup seperti "Penagihan-Dept", "IT-Dept", dll. Lebih masuk akal dalam konteks satu folder daripada "Admin Domain".
Dan
2

Ada dua opsi untuk mengatasi keterbatasan ini dengan mudah:

Martin Binder
sumber
1
Yang pertama adalah saran pragmatis dari Anda untuk bagaimana mengatasi ini, tetapi tidak bisa niat Microsoft untuk bagaimana menangani hal ini, itu akan konyol. Yang kedua pintar dan menarik, tapi saya tidak melakukan semacam itu pendaftaran bodging pada server hidup.
TessellatingHeckler
0

Berikan izin Baca / Jalankan di root drive prinsip bawaan yang disebut "Interaktif". Maka tidak diperlukan perubahan ke UAC.

Dialog izin root drive interaktif.

Dengan cara ini orang-orang masuk ke desktop dari jarak jauh atau "secara lokal" (konsol VM atau layar fisik dan keyboard) masih dapat menelusuri file dan menjalankan program bahkan dengan UAC diaktifkan.

Misalnya, Anda dapat menghapus izin "Pengguna dapat membaca dan membuat semuanya dari root" default untuk mengunci server secara masuk akal, tetapi hindari ketidakmampuan untuk masuk secara efektif, menelusuri file, dan navigasikan ke tempat Anda ingin mengubah pengaturan sebagai administrator.

Segera setelah Anda membuka dialog keamanan dan ingin mengubah izin, sebuah tombol muncul untuk mengubah pengaturan sebagai administrator. Jadi Anda mendapatkan yang terbaik dari kedua dunia:

  1. Tidak ada batasan untuk penelusuran admin / operator "lokal" dari struktur dan konten disk.
  2. Perlindungan terhadap perubahan oleh non-administrator.

Satu-satunya perbedaan dengan izin standar, adalah kami tidak mengatakan bahwa hanya akun "Pengguna" lokal yang dapat membaca semuanya, tetapi hanya orang yang memberikan akses ke konsol Windows, yaitu yang secara logis berarti akses server "interaktif" fisik "(atau virtual)" interaktif " , yang tidak hanya diberikan kepada siapa pun. Ini mungkin tidak berfungsi untuk server terminal kecuali ada cara yang lebih baik untuk membedakan jenis sesi tersebut (sarankan edit jika Anda tahu itu).

Tentu saja saran pertama adalah menggunakan server core / remote admin jika memungkinkan. Tetapi ketika tidak, ini membantu menghindari efek akhir yang umum bahwa server adalah izin pengguna default dihapus berakhir dengan puluhan izin akun pengguna pribadi diterapkan di semua tempat. Dan itu bukan kesalahan administrator, mereka hanya mencoba melakukan pekerjaan mereka dengan alat standar tanpa kerumitan khusus (cukup gunakan File Explorer secara normal).

Efek positif lain dari solusi ini, adalah dengan dapat mengunci izin root drive dan masih memiliki server "dapat digunakan" untuk administrator login ke desktop, kebutuhan untuk menonaktifkan warisan untuk menghapus izin yang tidak diinginkan dari atas sering menghilang. Fakta bahwa semua pengguna dapat membaca dan membuat apa pun yang mereka inginkan di bawah jalur yang Anda bagikan secara default adalah alasan umum untuk menonaktifkan warisan ketika tidak ada yang ingin berurusan dengan penyebab "root" ;-)

PaGeY
sumber
Dia membutuhkan penjelasan yang lebih baik.
Sven
Saya menyarankan pengeditan dengan detail lengkap karena jawaban ini cukup baik ketika desktop diperlukan. Saya harap @PaGeY menerimanya.
Tony Wall
@TonyWall Anda mungkin harus mempertimbangkan untuk menambahkan jawaban Anda sendiri.
Zoredache
0

tidak dapat membuka folder di Explorer karena "Anda tidak memiliki izin".

Saya menduga ini karena proses normal tidak memiliki token izin administrator karena UAC, kecuali jika Anda juga 'menjalankan sebagai administrator'. Tapi saya tidak bisa melakukan itu untuk Windows Explorer, bukan?

Ya, Anda BISA menjalankan Explorer dengan hak istimewa yang Ditinggikan untuk menyelesaikan masalah Anda!

Untuk melakukannya, Anda harus:

  • Buka Task Manager
    • Buka Detailstab
    • Bunuh " Explorer.exe" yang sedang berjalan sebagai pengguna Anda.
      • Catatan: menu awal dan folder Anda dll. Akan hilang, ini normal
    • Klik File
    • Pilih " Start New Process"
      • Ini muncul Dialog "Buat Tugas Baru".
    • Ketik Explorer.exedrop-down "Buka:".
    • Periksa CheckboxSelanjutnya untuk " Run task with administrative privileges"
    • Klik OK
      • Jika prompt elevasi muncul, klik accept.

Voila!

Menu Start Anda muncul kembali, dan Windows explorer telah Ditinggikan!

Anda sekarang menjalankan Explorer sebagai proses yang ditinggikan sehingga tindakan penjelajah mana pun yang memerlukan peninggian akan bekerja tanpa harus menaikkan setiap waktu.

Jadi Anda dapat menghapus folder atau melintasi folder atau memeriksa izin atau membaca file tanpa perlu menjalankan ditinggikan untuk setiap tindakan individu.

Saya mengalami ini karena kami menggunakan mode persetujuan admin untuk meningkatkan tanpa diminta, namun untuk menghapus folder dan file dan kadang-kadang untuk mengaksesnya, ini menyebabkan kami kesulitan ketika pengguna adalah anggota dari grup administrator lokal bukannya memiliki izin tersurat, meninggikan Explorer menyelesaikan masalah itu.

Ben Personick
sumber