Windows Explorer và UAC: chạy cao

Tôi cực kỳ khó chịu bởi UAC và tắt nó cho người dùng quản trị của tôi bất cứ nơi nào tôi có thể. Tuy nhiên, có những tình huống tôi không thể - đặc biệt nếu đó là những máy không thuộc quyền quản lý liên tục của tôi.

Trong trường hợp này, tôi luôn bị thách thức với nhiệm vụ duyệt các thư mục bằng người dùng quản trị của mình thông qua Windows Explorer nơi người dùng thông thường không có quyền "đọc". Hai cách tiếp cận có thể cho vấn đề này cho đến nay:

1. thay đổi ACL thành thư mục được đề cập để bao gồm người dùng của tôi (Windows cung cấp Continuenút này một cách thuận tiện trong hộp thoại "Bạn hiện không có quyền truy cập vào thư mục này" . Điều này rõ ràng là thường xuyên hơn là tôi không muốn thay đổi ACL nhưng chỉ cần nhìn vào nội dung của thư mục

2. sử dụng dấu nhắc cmd.exe nâng cao cùng với một loạt các tiện ích dòng lệnh - điều này thường mất rất nhiều thời gian khi duyệt qua các cấu trúc thư mục lớn và / hoặc phức tạp

Những gì tôi muốn thấy sẽ là một cách để chạy Windows Explorer ở chế độ nâng cao. Tôi vẫn chưa tìm ra cách để làm như vậy. Nhưng các đề xuất khác giải quyết vấn đề này theo cách không phô trương mà không thay đổi toàn bộ cấu hình của hệ thống (và tốt nhất là không cần tải xuống / cài đặt bất cứ thứ gì) cũng rất đáng hoan nghênh.

Tôi đã thấy bài đăng này với một đề nghị thay đổi HKCR - thú vị, nhưng nó thay đổi hành vi cho tất cả người dùng, điều mà tôi không được phép làm trong hầu hết các tình huống. Ngoài ra, một số người đã đề xuất sử dụng đường dẫn UNC để truy cập các thư mục - thật không may, điều này không hoạt động khi truy cập vào cùng một máy (ví dụ \\localhost\c$\path) vì tư cách thành viên nhóm "Quản trị viên" vẫn bị tước khỏi mã thông báo và xác thực lại (và do đó việc tạo của một mã thông báo mới) sẽ không xảy ra khi truy cập localhost.

TRƯỚC 2012/8

(hình ảnh và ý tưởng ban đầu từ http://kb.cadzow.com.au:15384/cadzow/details.aspx?Print=Y&ID=2343 )

1. Mở một dấu nhắc lệnh hành chính.
2. Ctrl + Shift + Rt-click vào Tắt máy trong menu bắt đầu.

3. Chọn Exit Explorer
4. gõ explorervào dấu nhắc lệnh nâng cao và nhấn enter.

Explorer hiện đang chạy trong bối cảnh nâng cao mà dấu nhắc lệnh nâng cao đã có.

2012/8

1. Mở một dấu nhắc lệnh hành chính.
2. Khởi động trình quản lý tác vụ và mở rộng ra More details
3. Nhấp vào Rt Windows Explorervà chọn End task
4. Nhập vào explorerdấu nhắc lệnh nâng cao và nhấn enter.

Explorer hiện đang chạy trong bối cảnh nâng cao mà dấu nhắc lệnh nâng cao đã có.

Hãy lưu ý, một khi bạn làm điều này, bạn có thể gặp khó khăn khi không chạy chương trình nâng cao. Bất kỳ chương trình nào bạn nhấp đúp chuột hoặc mở thông qua liên kết tệp cũng sẽ chạy cao.

Hãy cẩn thận

Nếu Explorer được đặt thành "Khởi chạy các cửa sổ thư mục trong một quy trình riêng biệt" (Tùy chọn thư mục> Chế độ xem), thì các cửa sổ thư mục sẽ không được nâng lên ngay cả khi quy trình thám hiểm chính là. Giải pháp thay thế là vô hiệu hóa tùy chọn này để tất cả các cửa sổ thư mục là một phần của quá trình thám hiểm nâng cao.

Tôi không nghĩ nên tắt UAC hoặc chạy toàn bộ Windows Explorer ở chế độ nâng cao.

Thay vào đó hãy nghĩ về việc sử dụng một công cụ khác để thực hiện quản lý tệp của bạn. Tôi nghĩ Explorer không phải là một công cụ tốt để thực hiện công việc nghiêm túc với nhiều tệp. Một chương trình với hai tấm cạnh nhau phù hợp hơn cho việc này.

Có nhiều công cụ thay thế Explorer ngoài kia, một số miễn phí, một số thương mại. Tất cả chúng có thể được chạy ở mức cao để quyền không còn là vấn đề nữa. Bạn thậm chí có thể muốn sử dụng hai cái khác nhau. Một cho sử dụng bình thường, một cho sử dụng hành chính nâng cao.

Ngoài ra, nhiều trong số chúng chạy di động, vì vậy bạn không cần phải cài đặt chúng, chỉ cần sao chép một vài tệp và chạy nó.

Tôi không đưa ra đề xuất cho một công cụ cụ thể, đó là một câu hỏi khác

Điều này cũng gây khó chịu cho tôi cho đến khi tôi nghiên cứu về lý do tại sao UAC làm gián đoạn việc truyền tải các thư mục mà tôi có quyền truy cập vốn có với tư cách quản trị viên. Có một giải pháp:

1. Rời khỏi UAC
2. Trong ACL thư mục của bạn, hãy thêm một ACE cung cấp nguyên tắc bảo mật "TƯƠNG TÁC" các quyền đối với các thư mục và danh sách nội dung thư mục.

Nếu bạn thêm nó vào ACL thư mục, quản trị viên của bạn sẽ có thể duyệt cấu trúc thư mục mà không bị nhấn với dấu nhắc UAC.

Điều này dường như là do thiết kế. Xem chủ đề này để biết thêm thông tin:

http://social.technet.microsoft.com/Forums/windows/en-US/1798a1a7-bd2e-4e42-8e98-0bc715e7f641/

Theo poster Andre.Ziegler trong chủ đề đó:

Như tôi đã nói với bạn, Windows 7 Explorer sử dụng phương thức khởi động dựa trên DCOM [sic] để ngăn bạn chạy windows explorer nâng cao.

Một giải pháp là sử dụng trình quản lý tệp phần mềm miễn phí Explorer ++ . Explorer ++ có một tùy chọn để hiển thị mức đặc quyền hiện tại trong thanh tiêu đề của nó, vì vậy bạn có thể dễ dàng xem liệu nó có đang chạy ở mức cao hay không.

Một giải pháp khác là sử dụng Nomad.NET , một trình quản lý tệp phần mềm miễn phí đẹp khác dựa trên .NET.

Sử dụng một ví dụ ISE PowerShell nâng cao. Hộp thoại Tệp mà nó cung cấp tự nâng lên, cho bạn khả năng duyệt qua các thư mục.

Tôi gặp vấn đề này RDPing vào các máy chủ để làm công việc trên chúng.

Đối với tôi đó là một trường hợp không làm điều đó. Tôi có thể truy cập các tệp từ explorer trên hệ thống nhà của tôi và nó cho phép tôi truy cập đầy đủ.

\\ remote.com \ c $ Đưa tôi đến những thứ tôi muốn làm quản trị viên mà không bị hạn chế.

Vấn đề còn lại là bạn đang chuyển các tệp giữa các hệ thống trong khi làm việc với chúng, nhưng đối với các tệp nhỏ. Tôi không quan tâm.

-Luôn

Một số người đã đóng góp rằng hành vi này là một trong những điểm của UAC: khiến bạn dừng lại và suy nghĩ về những gì bạn sắp làm. Một câu trả lời cho quan điểm này, đã được nêu, là được hỏi một lần là tốt, nhưng không được hỏi mỗi lần. Độc thân. thời gian. trong những gì có thể là một thủ tục rút ra một chút. Nó tương tự như không muốn sử dụng chìa khóa nhà của bạn mỗi khi bạn đi từ phòng này sang phòng khác trong nhà.

Nhưng tôi muốn chỉ ra một sự khác biệt về ngữ nghĩa giữa tình huống của OP và tình huống nhắc UAC thông thường: Thông báo thám hiểm với lời nhắc "Bạn hiện không có quyền truy cập vào thư mục này" về mặt khái niệm không giống như lời nhắc UAC tiêu chuẩn.

Khi bạn OK một yêu cầu UAC thông thường, bạn cho phép chương trình chạy ở mức cao (nghĩa là với thông tin đăng nhập của nhóm Quản trị viên); việc cấp này kết thúc khi chương trình kết thúc. Các hiệu ứng duy nhất là bất cứ điều gì chương trình có thể đã làm trong khi nâng cao.

Khi bạn OK, lời nhắc thám hiểm được tạo khi bạn thử khám phá vào một thư mục mà bạn không có quyền xem, bạn không chạy bất cứ thứ gì nâng cao. Thay vào đó, bạn đang thay đổi quyền hệ thống tệp (ACL) để cấp cho người dùng của riêng bạn quyền truy cập Full Control vào thư mục. Không chỉ là quyền được cấp rộng hơn nhiều so với quyền truy cập thư mục đọc / duyệt mà yêu cầu khám phá, quyền này về cơ bản là vĩnh viễn (cho đến khi ai đó xóa nó một cách rõ ràng), thay vì chỉ trong thời gian của nhà thám hiểm truy cập vào thư mục.

Nếu lời nhắc thực sự có nghĩa là chạy trình thám hiểm bằng thông tin xác thực của nhóm Quản trị viên, thì đó sẽ là một vấn đề khác và tương tự nhiều hơn với lời nhắc UAC thông thường (điều này dường như là điều xảy ra nếu bạn được nhắc sử dụng quyền hạn của Quản trị viên để xem / chỉnh sửa quyền trong biểu mẫu Cài đặt bảo mật nâng cao). Tất nhiên, điều này sẽ chỉ hoạt động nếu Quản trị viên thực sự có quyền truy cập được yêu cầu vì nhóm Quản trị viên không có quyền hạn để bỏ qua quyền truy cập hệ thống tệp. Tôi đã không tìm thấy một lời giải thích tốt về điều này, nhưng cuối cùng tất cả các nhóm Quản trị viên dường như nhận được là "cho phép toàn quyền" mặc định và quyền truy cập tệp không được đảm bảo vì có thể bị từ chối khi sử dụng quyền "Từ chối" rõ ràng.

Bên cạnh đó, trong khi kiểm tra quyền truy cập cho bài viết này, tôi đã quan sát thấy rằng việc thay đổi quyền sở hữu đối tượng đôi khi sẽ thay đổi các mục nhập ACL cho hiệu trưởng tích hợp của OWNER (có nhiều tên khác nhau tùy thuộc vào phiên bản Windows) rằng họ áp dụng cho "Không có gì" thay vì một trong những lựa chọn thông thường (ví dụ: "thư mục này"). Điều này xảy ra ít nhất hai lần đối với các ACL từ chối quyền truy cập vào Chủ sở hữu.

Một quan sát khác là rất khó xác định hành vi nào là hành vi trần của hệ thống tệp và những gì được thêm vào từ giao diện người dùng đang được sử dụng để sửa đổi các quyền (trong trường hợp này là biểu mẫu Cài đặt bảo mật nâng cao của Windows Explorer) . Chẳng hạn, tại một thời điểm, công cụ dòng lệnh TAKEOWN sẽ (chính xác) cho phép người dùng không có đặc quyền tình cờ được cấp quyền truy cập "Quyền sở hữu" để sở hữu một thư mục, mà Cài đặt bảo mật nâng cao đã nhấn mạnh rằng thông tin quản trị viên được nhập trước khi thực hiện điều này.