Autorizzazioni per le cartelle di Windows, amministratori e controllo dell'account utente, qual è il modo "giusto" per gestirlo?

8

Ho una cartella con autorizzazioni:

  • Amministratori (gruppo): completo.
  • J. Bloggs: completo.

Ho effettuato l'accesso come membro del gruppo Administrators.

Non riesco ad aprire la cartella in Explorer perché "non hai i permessi".

Sospetto che ciò sia dovuto al fatto che i normali processi non dispongono del token di autorizzazione dell'amministratore a causa del controllo dell'account utente, a meno che tu non sia anche "eseguito come amministratore". Ma non posso farlo per Windows Explorer, vero?

Quindi le mie opzioni sembrano essere: - Fai clic sul pulsante per diventare proprietario (rovina la proprietà, richiede anni su cartelle di grandi dimensioni, non risolve per altri amministratori) - Aggiungi ogni singolo account amministratore con autorizzazioni complete in modo che funzioni senza il token admin (amministrativo pasticcio, qual è il punto nei gruppi)

Questo è un design davvero fastidioso, mi manca qualcosa. Come dovrebbe funzionare? Qual è il modo "giusto" per un amministratore di accedere a una cartella a cui gli amministratori hanno accesso?

windows  windows-server-2008  uac 
TessellatingHeckler
fonte
1
Penso Explorer solo corse elevati quando si è connessi come l' amministratore locale di quella macchina.
Giovanni,
2
Questo è uno dei motivi per cui ms ha aggiornato i suoi consigli di sicurezza sull'uso di uac sui server. support.microsoft.com/kb/2526083
tony roth,
Tony, questa è una sorpresa completa per me, dopo aver sopportato così a lungo le richieste di controllo dell'account utente "per il bene superiore", sentire Microsoft dire che non c'è, e non potrà mai esserci , un bene più grande sul lato server. Citazione: "" "Quando tutte le attività dell'utente amministrativo richiedono diritti amministrativi e ogni attività può attivare una richiesta di elevazione, le richieste sono solo un ostacolo alla produttività. In questo contesto, tali richieste non possono e non possono promuovere l'obiettivo di incoraggiare lo sviluppo di applicazioni che richiedono diritti utente standard "" ". Brillante. Approvazione da parte di MS per disattivare l'UAC! (in determinate situazioni limitate).
TessellatingHeckler,
questa affermazione "Controllo account utente dovrebbe rimanere abilitato anche se gli amministratori eseguono applicazioni rischiose sul server come browser Web, client di posta elettronica o client di messaggistica istantanea o gli amministratori eseguono altre operazioni che devono essere eseguite da un sistema operativo client come Windows 7." è la chiave di tutto questo.
tony roth,
È possibile eseguire Explorer con privilegi elevati, in primo luogo: open Task Manager, go to details, kill the existing explorer running as your user.(Nota: il menu di avvio e le cartelle ecc. Scompaiono), quindi, ancora nel task manager: Click File, Start New Process, Type Explorer, and select the "Run task with administrative privileges" checkbox, and hit OKil menu di avvio verrà nuovamente visualizzato, ora è possibile continuare senza bisogno di elevare ogni volta che si accede a una cartella o file a cui si dispone delle autorizzazioni solo tramite il gruppo Utenti amministrativi.
Ben Personick,

Risposte:

4

La soluzione è semplicemente gestire il server in remoto. Il filtro UAC dei privilegi di amministratore si applica solo quando si accede al sistema locale.

Con il rilascio di Server Core, Microsoft ha fortemente incoraggiato le persone ad amministrare in remoto i server invece di connettersi direttamente a loro per gestirli.

Naturalmente, se si dispone di una rete molto piccola, ciò potrebbe non essere fattibile, quindi disabilitare l'UAC va bene o regolare le autorizzazioni del filesystem in modo che venga utilizzato un altro gruppo anziché gli amministratori per concedere le autorizzazioni.

Zoredache
fonte
Quindi es. \\ localhost \ c $ consentire agli amministratori di visualizzare come amministratore? Penso di averlo già visto prima.
Giovanni,
Ma questa non è affatto una soluzione, perché non ho effettuato l'accesso come amministratore sul mio desktop. (Non ho nemmeno effettuato l'accesso sullo stesso dominio e non esiste alcuna relazione di fiducia tra di loro)).
TessellatingHeckler,
Non è necessario accedere al sistema remoto utilizzando le credenziali utilizzate per accedere. Connettersi al sistema remoto come amministratore. net use \\server\share /user:adminuser.
Zoredache,
Questa è la risposta generale corretta ma ci sono ancora troppi prodotti server Microsoft e OEM che richiedono l'interazione desktop per gestirli o riconfigurarli in modo efficace. La domanda originale è valida ed è richiesta una soluzione per il desktop del server "Windows". È strano che le impostazioni predefinite di Microsoft non lo supportino senza concedere a tutti gli utenti locali l'accesso alla lettura e alla creazione di tutto dalla radice. Ho aggiunto molti dettagli in una modifica suggerita alla risposta di @PaGeY, quindi spero che lo accetti perché al momento credo che sia la migliore alternativa quando l'amministratore principale non è possibile.
Tony Wall,
6

Il modo migliore è definire un nuovo gruppo contenente membri che consideri amministratori della cartella. Se si dispone di un dominio AD, è possibile creare questo gruppo in AD e quindi aggiungere quel gruppo al gruppo Administrators (del computer locale) ed evitare di dover amministrare due gruppi.

Nota: se lo stai provando localmente, ricorda che devi disconnetterti e riconnetterti per rendere effettive le nuove autorizzazioni.

John
fonte
Vorrei averlo considerato prima. È leggermente fastidioso, ma ha un basso carico amministrativo e non è probabile che rompa nient'altro.
TessellatingHeckler,
1
Ecco come abbiamo risolto il problema. Abbiamo gruppi come "Billing-Dept", "IT-Dept", ecc. Ha molto più senso nel contesto di una singola cartella rispetto a "Domain Admins".
Dan,
2

Esistono due opzioni per aggirare facilmente questa limitazione:

Martin Binder
fonte
1
Il primo è un suggerimento pragmatico da parte tua su come aggirare questo problema, ma non può essere l'intenzione di Microsoft su come gestirlo, sarebbe ridicolo. Il secondo è intelligente e interessante, ma non sto facendo quel tipo di registro sui server live.
TessellatingHeckler,
0

Concedere l'autorizzazione di lettura / esecuzione alla radice dell'unità l'entità incorporata denominata "Interattivo". Quindi non è necessario modificare l'UAC.

Finestra di dialogo delle autorizzazioni di root dell'unità interattiva.

In questo modo le persone che hanno effettuato l'accesso al desktop in remoto o "localmente" (console VM o schermo e tastiera fisici) possono comunque sfogliare i file ed eseguire programmi anche con UAC abilitato.

Ad esempio, è possibile rimuovere l'autorizzazione predefinita "Gli utenti possono leggere e creare tutto dalla radice" per bloccare il server in modo ragionevole, ma evitare l'impossibilità di accedere in modo efficace, sfogliare i file e accedere al punto in cui si desidera modificare le impostazioni come amministratore.

Non appena si apre la finestra di dialogo di sicurezza e si desidera modificare le autorizzazioni, viene visualizzato un pulsante per modificare le impostazioni come amministratore. Quindi ottieni il meglio da entrambi i mondi:

  1. Nessuna restrizione alla navigazione "locale" dell'amministratore / operatore della struttura e del contenuto dei dischi.
  2. Protezione contro le modifiche da parte di non amministratori.

L'unica differenza rispetto alle autorizzazioni standard è che non stiamo dicendo che solo gli account "Utenti" locali possono leggere tutto, ma solo le persone a cui è stato concesso l'accesso alla console di Windows, vale a dire che significa logicamente accesso al server "interattivo" (o virtuale) "interattivo" , che non è concesso solo a nessuno. Questo potrebbe non funzionare per i server terminal a meno che non esista un modo migliore per distinguere tra questi tipi di sessioni (suggerisci di modificarlo se lo sai).

Ovviamente il primo consiglio è di usare il server core / admin remoto quando possibile. Ma in caso contrario, questo aiuta a evitare l'effetto comune comune che un server in cui le autorizzazioni predefinite degli utenti vengono rimosse finiscono con dozzine di autorizzazioni per l'account utente personale applicate ovunque. E non è davvero colpa dell'amministratore, stanno solo cercando di fare il loro lavoro con strumenti standard senza particolari complessità (basta usare normalmente File Explorer).

Un altro effetto positivo di questa soluzione è la possibilità di bloccare le autorizzazioni dell'unità radice e di avere ancora il server "utilizzabile" per l'amministratore connesso al desktop, spesso scompare la necessità di disabilitare l'eredità per rimuovere le autorizzazioni indesiderate dall'alto. Il fatto che tutti gli utenti possano leggere e creare ciò che vogliono sotto il percorso condiviso per impostazione predefinita è un motivo comune per disabilitare l'eredità quando nessuno vuole affrontare la causa "radice" ;-)

pagey
fonte
Questo ha bisogno di una spiegazione migliore.
Sven
Ho suggerito una modifica con tutti i dettagli perché questa risposta è abbastanza buona quando è necessario un desktop. Spero che @PaGeY lo accetti.
Tony Wall,
@TonyWall probabilmente dovresti considerare di aggiungere la tua risposta.
Zoredache,
0

impossibile aprire la cartella in Explorer perché "non si dispone dell'autorizzazione".

Sospetto che ciò sia dovuto al fatto che i normali processi non dispongono del token di autorizzazione dell'amministratore a causa del controllo dell'account utente, a meno che tu non sia anche "eseguito come amministratore". Ma non posso farlo per Windows Explorer, vero?

Sì, è possibile eseguire Explorer con privilegi elevati per risolvere il problema!

Per fare ciò, è necessario:

  • Aperto Task Manager
    • Vai alla Detailsscheda
    • Elimina l'attuale " Explorer.exe" in esecuzione come tuo utente.
      • Nota: il menu di avvio, le cartelle ecc. Scompaiono, questo è normale
    • Clic File
    • Seleziona " Start New Process"
      • Viene visualizzata una finestra di dialogo "Crea nuova attività".
    • Digita Explorer.exeil menu a discesa "Apri:".
    • Controlla il Checkboxprossimo a " Run task with administrative privileges"
    • Clic OK
      • Se viene visualizzato il prompt di elevazione, fare clic su accept.

Ecco!

Viene nuovamente visualizzato il menu Start e Windows Explorer è elevato!

Ora stai eseguendo Explorer come un processo elevato, quindi tutte le azioni di Explorer che richiedono l'elevazione funzioneranno senza bisogno di elevarsi ogni volta.

Quindi puoi eliminare una cartella o attraversare una cartella o controllare le autorizzazioni o leggere un file senza la necessità di eseguire elevati per ogni singola azione.

Mi sono imbattuto in questo perché utilizziamo la modalità di approvazione dell'amministratore per elevare senza richiedere, tuttavia per l'eliminazione di cartelle e file e talvolta per accedervi, questo ci sta causando problemi quando l'utente è un membro del gruppo dell'amministratore locale invece di avere autorizzazioni espresse, elevando Explorer risolto quel problema.

Ben Personick
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.