Các quyền của thư mục Windows, Quản trị viên và UAC, cách thức xử lý vấn đề đúng đắn của YouTube là gì?


8

Tôi có một thư mục có quyền:

  • Quản trị viên (nhóm): Đầy đủ.
  • J. Bloggs: Đầy đủ.

Tôi đang đăng nhập với tư cách là thành viên của nhóm Quản trị viên.

Tôi không thể mở thư mục trong Explorer vì "bạn không có quyền".

Tôi nghi ngờ điều này là do các quy trình thông thường không có mã thông báo cấp phép quản trị viên vì UAC, trừ khi bạn cũng 'chạy với tư cách quản trị viên'. Nhưng tôi không thể làm điều đó cho Windows Explorer, tôi có thể không?

Vì vậy, các tùy chọn của tôi dường như là: - Nhấp vào nút để nhận quyền sở hữu (hủy hoại quyền sở hữu, mất nhiều thời gian trên các thư mục lớn, không giải quyết cho các quản trị viên khác) - Thêm từng tài khoản quản trị viên riêng lẻ với quyền đầy đủ để nó hoạt động mà không cần mã thông báo quản trị viên (quản trị lộn xộn, những gì điểm trong nhóm)

Đây là một thiết kế thực sự khó chịu, tôi phải thiếu một cái gì đó. Làm thế nào là nó phải làm việc? Cách 'đúng' để quản trị viên truy cập vào thư mục mà quản trị viên có quyền truy cập là gì?


1
Tôi nghĩ Explorer chỉ chạy cao khi bạn đang đăng nhập như các quản trị viên địa phương của máy đó.
john

2
Đây là một trong những lý do tại sao ms cập nhật các khuyến nghị bảo mật của họ về việc sử dụng uac trên máy chủ. support.microsoft.com/kb/2526083
tony roth

Tony, đó là một điều hoàn toàn bất ngờ đối với tôi, sau một thời gian dài đưa ra lời nhắc UAC "vì lợi ích lớn hơn", khi nghe Microsoft nói rằng không có, và không bao giờ có thể , bất kỳ lợi ích nào lớn hơn ở phía máy chủ. Trích dẫn: "" "Khi tất cả các tác vụ của người dùng quản trị yêu cầu quyền quản trị và mỗi tác vụ có thể kích hoạt nhắc nhở độ cao, các lời nhắc chỉ là một trở ngại cho năng suất. Trong bối cảnh này, các lời nhắc đó không và không thể thúc đẩy mục tiêu khuyến khích phát triển các ứng dụng yêu cầu quyền người dùng chuẩn "" ". Xuất sắc. MS chấp thuận tắt UAC! (trong một số tình huống nhất định, hạn chế).
TessellatingHeckler

tuyên bố này "UAC cũng nên được kích hoạt nếu quản trị viên chạy các ứng dụng rủi ro trên máy chủ như trình duyệt web, ứng dụng email hoặc ứng dụng khách nhắn tin tức thời hoặc quản trị viên thực hiện các hoạt động khác nên được thực hiện từ hệ điều hành máy khách như Windows 7." là chìa khóa cho tất cả những điều này.
tony roth

Bạn CÓ THỂ chạy Explorer với các đặc quyền Nâng cao, Đầu tiên: open Task Manager, go to details, kill the existing explorer running as your user.(Lưu ý: menu bắt đầu và thư mục, v.v. sẽ biến mất), sau đó, vẫn trong trình quản lý tác vụ: Click File, Start New Process, Type Explorer, and select the "Run task with administrative privileges" checkbox, and hit OKMenu Bắt đầu của bạn sẽ xuất hiện lại, bây giờ bạn có thể tiếp tục mà không cần nâng cao mỗi lần bạn truy cập vào một thư mục hoặc tệp mà bạn chỉ có quyền thông qua nhóm Người dùng quản trị.
Ben Personick

Câu trả lời:


4

Giải pháp đơn giản là quản lý máy chủ từ xa. Lọc UAC của đặc quyền quản trị viên chỉ áp dụng khi bạn đang truy cập hệ thống cục bộ.

Với việc phát hành Server Core, Microsoft đã khuyến khích mọi người quản lý máy chủ từ xa thay vì kết nối trực tiếp với họ để quản lý chúng.

Tất nhiên, nếu bạn có một mạng thực sự nhỏ thì điều này có thể không khả thi, do đó, vô hiệu hóa UAC là tốt hoặc điều chỉnh các quyền của hệ thống tệp để một nhóm khác được sử dụng thay vì quản trị viên cấp quyền.


Vì vậy, ví dụ. \\ localhost \ c $ cho phép quản trị viên xem là quản trị viên? Hãy nghĩ rằng tôi đã thấy điều này được thực hiện trước đây.
John

Nhưng đó hoàn toàn không phải là một giải pháp, bởi vì tôi không đăng nhập với tư cách quản trị viên trên máy tính để bàn của mình. (Tôi thậm chí không đăng nhập trên cùng một tên miền và không có mối quan hệ tin cậy giữa chúng)).
TessellatingHeckler

Bạn không phải truy cập hệ thống từ xa bằng thông tin đăng nhập bạn đã sử dụng để đăng nhập. Kết nối với hệ thống từ xa như quản trị viên. net use \\server\share /user:adminuser.
Zoredache

Đây là câu trả lời chung chính xác nhưng vẫn còn quá nhiều sản phẩm máy chủ Microsoft và OEM yêu cầu tương tác trên máy tính để quản lý hoặc cấu hình lại chúng một cách hiệu quả. Câu hỏi ban đầu là hợp lệ và cần có giải pháp cho máy tính để bàn của máy chủ "Windows". Thật kỳ lạ khi các mặc định của Microsoft không hỗ trợ điều này mà không cấp cho tất cả người dùng địa phương quyền truy cập để đọc và tạo mọi thứ từ gốc. Tôi đã thêm rất nhiều chi tiết trong một chỉnh sửa được đề xuất vào câu trả lời từ @PaGeY vì vậy tôi hy vọng anh ấy chấp nhận điều đó bởi vì hiện tại tôi tin rằng đó là cách thay thế tốt nhất khi không thể quản trị viên chính.
Tony Wall

6

Cách tốt nhất là xác định một nhóm mới chứa các thành viên mà bạn cho là quản trị viên của thư mục đó. Nếu bạn có miền AD, bạn có thể tạo nhóm này trong AD và sau đó thêm nhóm đó vào nhóm Quản trị viên (của máy cục bộ) và tránh phải quản trị hai nhóm.

Lưu ý: Nếu bạn đang thử điều này cục bộ, hãy nhớ rằng bạn phải đăng xuất và đăng nhập lại để các quyền mới có hiệu lực.


Tôi ước tôi đã xem xét điều này sớm hơn. Nó hơi khó chịu, nhưng chi phí hành chính thấp và không có khả năng phá vỡ bất cứ điều gì khác.
TessellatingHeckler

1
Đây là cách chúng tôi giải quyết vấn đề. Chúng tôi có các nhóm như "Phòng thanh toán", "Phòng CNTT", v.v ... Có ý nghĩa hơn nhiều trong ngữ cảnh của một thư mục so với "Quản trị viên tên miền".
Dan

2

Có hai lựa chọn để giải quyết vấn đề này một cách dễ dàng:


1
Đầu tiên là một gợi ý thực tế từ bạn về cách giải quyết vấn đề này, nhưng đó không thể là ý định của Microsoft về cách giải quyết vấn đề này, điều đó thật vô lý. Thứ hai là thông minh và thú vị, nhưng tôi không thực hiện kiểu đăng ký đó trên các máy chủ trực tiếp.
TessellatingHeckler

0

Cấp quyền Đọc / Thực thi tại ổ đĩa gốc hiệu trưởng có tên là "Tương tác". Sau đó, không cần thay đổi UAC.

Hộp thoại quyền truy cập ổ đĩa tương tác.

Bằng cách này, mọi người đăng nhập vào máy tính để bàn từ xa hoặc "cục bộ" (bảng điều khiển VM hoặc màn hình vật lý và bàn phím) vẫn có thể duyệt các tệp và chạy chương trình ngay cả khi bật UAC.

Ví dụ: bạn có thể xóa quyền "Người dùng có thể đọc và tạo mọi thứ từ gốc" mặc định để khóa máy chủ một cách hợp lý, nhưng tránh việc không thể đăng nhập hiệu quả, duyệt tệp và điều hướng đến nơi bạn muốn thay đổi cài đặt với tư cách quản trị viên.

Ngay khi bạn mở hộp thoại bảo mật và muốn thay đổi quyền, một nút sẽ xuất hiện để thay đổi cài đặt với tư cách quản trị viên. Vì vậy, bạn có được điều tốt nhất của cả hai thế giới:

  1. Không hạn chế duyệt web quản trị / toán tử "cục bộ" về cấu trúc và nội dung của các đĩa.
  2. Bảo vệ chống lại sự thay đổi của những người không phải là quản trị viên.

Sự khác biệt duy nhất đối với các quyền tiêu chuẩn, là chúng tôi không nói rằng chỉ các tài khoản "Người dùng" cục bộ mới có thể đọc mọi thứ, mà chỉ những người được cấp quyền truy cập vào bảng điều khiển Windows, nghĩa là về mặt logic có nghĩa là truy cập máy chủ "tương tác" (hoặc ảo) , mà không chỉ được cấp cho bất cứ ai. Điều này có thể không hoạt động cho các máy chủ đầu cuối trừ khi có cách tốt hơn để phân biệt giữa các loại phiên đó (đề nghị chỉnh sửa nếu bạn biết điều đó).

Tất nhiên lời khuyên đầu tiên là sử dụng lõi máy chủ / quản trị viên từ xa bất cứ khi nào có thể. Nhưng khi không, điều này giúp tránh hiệu ứng cuối cùng phổ biến là máy chủ là quyền người dùng mặc định bị xóa cuối cùng với hàng tá quyền tài khoản người dùng cá nhân được áp dụng ở mọi nơi. Và đó không thực sự là lỗi của quản trị viên, họ chỉ cố gắng thực hiện công việc của mình bằng các công cụ tiêu chuẩn mà không có bất kỳ sự phức tạp đặc biệt nào (chỉ sử dụng File Explorer bình thường).

Một tác động tích cực khác của giải pháp này là bằng cách khóa các quyền của ổ đĩa gốc và vẫn có máy chủ "có thể sử dụng" cho quản trị viên đăng nhập vào máy tính để bàn, nhu cầu vô hiệu hóa kế thừa để loại bỏ các quyền không mong muốn từ bên trên thường biến mất. Việc tất cả người dùng có thể đọc và tạo bất cứ điều gì họ muốn bên dưới đường dẫn được chia sẻ của bạn theo mặc định là lý do phổ biến để vô hiệu hóa quyền thừa kế khi không ai muốn xử lý nguyên nhân "gốc" ;-)


T.his cần một lời giải thích tốt hơn.
Sven

Tôi đề nghị chỉnh sửa với đầy đủ chi tiết vì câu trả lời này khá tốt khi cần máy tính để bàn. Tôi hy vọng @PaGeY chấp nhận nó.
Tony Wall

@TonyWall có lẽ bạn nên xem xét thêm câu trả lời của riêng bạn.
Zoredache

0

không thể mở thư mục trong Explorer vì "bạn không có quyền".

Tôi nghi ngờ điều này là do các quy trình thông thường không có mã thông báo cấp phép quản trị viên vì UAC, trừ khi bạn cũng 'chạy với tư cách quản trị viên'. Nhưng tôi không thể làm điều đó cho Windows Explorer, tôi có thể không?

Có, bạn CÓ THỂ chạy Explorer với các đặc quyền Nâng cao để giải quyết vấn đề của mình!

Để làm như vậy, bạn phải:

  • mở Task Manager
    • Chuyển đến Detailstab
    • Giết " Explorer.exe" đang chạy như người dùng của bạn.
      • Lưu ý: menu bắt đầu và thư mục của bạn, v.v. sẽ biến mất, điều này là bình thường
    • Nhấp chuột File
    • Chọn " Start New Process"
      • Điều này bật lên một hộp thoại "Tạo nhiệm vụ mới".
    • Nhập Explorer.exevào thả xuống "Mở:".
    • Kiểm tra CheckboxTiếp theo " Run task with administrative privileges"
    • Nhấp chuột OK
      • Nếu dấu nhắc độ cao xuất hiện, nhấp vào accept.

Voila!

Menu Bắt đầu của bạn xuất hiện lại và Windows explorer được nâng cao!

Bây giờ bạn đang chạy Explorer như một quá trình nâng cao, vì vậy mọi hành động thám hiểm cần độ cao sẽ hoạt động mà không cần phải nâng lên mỗi lần.

Vì vậy, bạn có thể Xóa thư mục hoặc duyệt qua thư mục hoặc kiểm tra quyền hoặc đọc tệp mà không cần chạy nâng cao cho từng hành động riêng lẻ.


Tôi gặp phải điều này vì chúng tôi sử dụng chế độ phê duyệt của quản trị viên để nâng cao mà không cần nhắc, tuy nhiên để xóa các thư mục và tệp và đôi khi để truy cập chúng, điều này gây rắc rối cho chúng tôi khi người dùng là thành viên của nhóm quản trị viên cục bộ thay vì có quyền rõ ràng, nâng cao Explorer đã giải quyết vấn đề đó.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.