Esplora risorse e UAC: esecuzione elevata

Sono profondamente infastidito dal controllo dell'account utente e lo spengo per il mio utente amministratore ovunque possibile. Tuttavia, ci sono situazioni in cui non posso - specialmente se quelle sono macchine non sotto la mia continua amministrazione.

In questo caso, sono sempre sfidato al compito di attraversare le directory utilizzando il mio utente amministrativo tramite Esplora risorse in cui gli utenti normali non dispongono di autorizzazioni di "lettura". I possibili due approcci a questo problema finora:

1. cambiare gli ACL nella directory in questione per includere il mio utente (Windows offre convenientemente il Continuepulsante nella finestra di dialogo "Attualmente non disponi delle autorizzazioni per accedere a questa cartella" . Questo ovviamente fa schifo dal momento che spesso non voglio cambiare ACL ma basta guardare nel contenuto della cartella

2. usa un prompt cmd.exe elevato insieme a un sacco di utility da riga di comando - questo di solito richiede molto tempo quando navighi attraverso strutture di directory grandi e / o complesse

Quello che mi piacerebbe vedere sarebbe un modo per eseguire Windows Explorer in modalità elevata. Devo ancora scoprire come farlo. Ma sono ben accetti anche altri suggerimenti per risolvere questo problema in modo discreto senza cambiare la configurazione dell'intero sistema (e preferibilmente senza la necessità di scaricare / installare nulla).

Ho visto questo post con un suggerimento per alterare HKCR - interessante, ma cambia il comportamento per tutti gli utenti, cosa che non mi è permesso fare nella maggior parte delle situazioni. Inoltre, alcune persone hanno suggerito di utilizzare i percorsi UNC per accedere alle cartelle - sfortunatamente questo non funziona quando si accede alla stessa macchina (ad es. \\localhost\c$\path) In quanto l'appartenenza al gruppo "Amministratori" è ancora rimossa dal token e una nuova autenticazione (e quindi la creazione di un nuovo token) non accadrà quando si accede a localhost.

PRE-2012/8

(immagini e idea originale da http://kb.cadzow.com.au:15384/cadzow/details.aspx?Print=Y&ID=2343 )

1. Aprire un prompt dei comandi amministrativo.
2. Ctrl + Maiusc + Rt-clic su Arresta nel menu di avvio.

3. Scegliere Exit Explorer
4. digitare exploreril prompt dei comandi con privilegi elevati e premere Invio.

Explorer è ora in esecuzione nel contesto elevato del prompt dei comandi con privilegi elevati.

2012/8

1. Aprire un prompt dei comandi amministrativo.
2. Avvia il task manager ed espandi More details
3. Rt-click Windows Explorere scegli End task
4. Digita exploreril prompt dei comandi con privilegi elevati e premi Invio.

Explorer è ora in esecuzione nel contesto elevato del prompt dei comandi con privilegi elevati.

Prendi nota che, una volta fatto, potresti avere difficoltà a non eseguire un programma elevato. Qualsiasi programma su cui fai doppio clic o apri tramite associazione file verrà eseguito anche in modo elevato.

Avvertimento

Se Explorer è impostato su "Avvia le finestre delle cartelle in un processo separato" (Opzioni cartella> Visualizza), le finestre delle cartelle non saranno elevate anche se lo è il processo principale di Explorer. Per risolvere il problema, disabilitare questa opzione in modo che tutte le finestre delle cartelle facciano parte del processo di esplorazione elevata.

Non penso sia una buona idea disattivare UAC o eseguire l'intera shell di Windows Explorer in modalità elevata.

Invece pensa a utilizzare uno strumento diverso per gestire i tuoi file. Penso che Explorer non sia un buon strumento per fare comunque un lavoro serio con molti file. Un programma con due riquadri affiancati è molto più adatto a questo.

Esistono molti strumenti di sostituzione di Explorer, alcuni gratuiti, altri commerciali. Tutti possono essere eseguiti elevati in modo che le autorizzazioni non siano più un problema. Potresti persino volerne usare due diversi. Uno per un uso normale, uno per un uso amministrativo elevato.

Inoltre, molti di essi sono portatili, quindi non è necessario installarli, basta copiare alcuni file ed eseguirlo.

Non sto facendo una raccomandazione per un particolare strumento, questa è una domanda diversa

Questo è stato frustrante anche per me fino a quando non ho studiato perché UAC interrompe il mio attraversamento di cartelle a cui ho accesso intrinseco come amministratore. C'è una soluzione:

1. Lasciare UAC attivo
2. Nelle ACL delle cartelle, aggiungere un ACE che dia al principio di sicurezza "INTERATTIVO" le autorizzazioni per attraversare le cartelle e elencare i contenuti delle cartelle.

Se lo aggiungi agli ACL delle cartelle, i tuoi amministratori potranno sfogliare la struttura delle cartelle senza essere colpiti da un prompt UAC.

Questo sembra essere di progettazione. Vedi questa discussione per ulteriori informazioni:

http://social.technet.microsoft.com/Forums/windows/en-US/1798a1a7-bd2e-4e42-8e98-0bc715e7f641/

Secondo il poster Andre.Ziegler in quella discussione:

Come ti ho già detto, Windows 7 Explorer utilizza un metodo di avvio basato su DCOM [sic] che ti impedisce di eseguire Windows Explorer elevato.

Una soluzione consiste nell'utilizzare il file manager freeware Explorer ++ . Explorer ++ ha un'opzione per mostrare l'attuale livello di privilegio nella barra del titolo, in modo da poter vedere facilmente se è in esecuzione elevata.

Un'altra soluzione è usare Nomad.NET , un altro bel gestore di file freeware basato su .NET.

Utilizzare un'istanza ISE di PowerShell elevata. La finestra di dialogo File che fornisce è di per sé elevata, dandoti la possibilità di attraversare le directory.

Mi sono imbattuto in questo problema RDPing nei server per fare cose su di loro.

Per me è un caso di non farlo. Posso accedere ai file da explorer sul mio sistema di casa e questo mi dà pieno accesso.

\\ remote.com \ c $ Mi porta alle cose che voglio come amministratore senza restrizioni.

Il problema rimanente è che si stanno trasferendo file tra i sistemi mentre si lavora su di essi, ma per file di piccole dimensioni. Non mi interessa.

-Larry

Diverse persone hanno contribuito al fatto che questo comportamento è uno dei punti dell'UAC: farti fermare e pensare a quello che stai per fare. Una risposta a questo punto di vista, già affermato, è che essere chiesti una volta va bene, ma non tutti. singolo. tempo. durante quella che potrebbe essere una procedura piuttosto elaborata. È in qualche modo analogo non voler usare la chiave di casa ogni volta che si passa da una stanza all'altra all'interno della casa.

Ma voglio sottolineare una differenza semantica tra la situazione di OP e la solita situazione del prompt UAC: Il messaggio di Explorer con il prompt "Al momento non disponi delle autorizzazioni per accedere a questa cartella" non è concettualmente uguale al prompt UAC standard.

Quando si OK una normale richiesta di controllo dell'account utente, si consente l'esecuzione del programma elevata (ovvero, con le credenziali del gruppo Administrators); questa concessione termina al termine del programma. Gli unici effetti duraturi sono qualunque cosa il programma possa aver fatto mentre è elevato.

Quando si OK il prompt di explorer prodotto quando si tenta di esplorare in una cartella che non si dispone dell'autorizzazione per visualizzare, non si esegue nulla di elevato. Invece si stanno modificando le autorizzazioni del file system (ACL) per concedere al proprio utente l'accesso Controllo completo alla cartella. Non solo l'autorizzazione concessa è molto più ampia delle autorizzazioni di lettura / attraversamento della cartella richieste dall'esplorazione, questa autorizzazione è essenzialmente permanente (fino a quando qualcuno non la rimuove esplicitamente), piuttosto che solo per la durata della visita dell'esploratore nella cartella.

Se il prompt in realtà significasse eseguire Explorer con le credenziali del gruppo amministratori, sarebbe una questione diversa e molto più analoga al normale prompt UAC (questo sembra essere ciò che accade se viene richiesto di utilizzare i poteri di amministratore per visualizzare / modificare le autorizzazioni in il modulo Impostazioni di sicurezza avanzate). Ciò funzionerebbe, ovviamente, solo se gli amministratori avessero effettivamente l'accesso richiesto poiché il gruppo amministratori non ha carta bianca per bypassare le autorizzazioni del file system. Non ho trovato una buona spiegazione di ciò, ma alla fine tutto il gruppo di amministratori sembra avere un "consenti controllo" predefinito e l'accesso ai file non è garantito perché può essere negato usando le autorizzazioni esplicite "Nega".

Per inciso, durante il test delle autorizzazioni di accesso per questo articolo, ho osservato che la modifica della proprietà di un oggetto, a volte, modificherà le voci ACL per l'entità incorporata OWNER (che va sotto vari nomi a seconda della versione di Windows) che si applicano a "Nulla" piuttosto a una delle solite scelte (ad esempio "questa cartella"). Ciò si è verificato almeno due volte agli ACL che negano l'accesso al proprietario.

Un'altra osservazione è che è molto difficile determinare quale comportamento è il comportamento nudo del file system e quali sono gli abbellimenti aggiunti dall'interfaccia utente utilizzati per modificare le autorizzazioni (in questo caso il modulo Impostazioni di sicurezza avanzate di Windows Explorer) . Ad esempio, ad un certo punto, lo strumento da riga di comando TAKEOWN consentirebbe (correttamente) a un utente non privilegiato a cui è stato concesso l'accesso "Diventa proprietario" di diventare proprietario di una cartella, che le Impostazioni di sicurezza avanzate hanno insistito sull'inserimento delle credenziali degli amministratori prima di eseguire Questo.