Windowsフォルダーのアクセス許可、管理者、UAC、これに対処するための「正しい」方法は何ですか？

8

権限のあるフォルダがあります：

管理者（グループ）：フル。
J. Bloggs：フル。

管理者グループのメンバーとしてログインしています。

「権限がない」ため、エクスプローラでフォルダを開けません。

「管理者として実行」しない限り、UACのために通常のプロセスには管理者権限トークンがないためだと思います。しかし、Windowsエクスプローラーではできません。

だから私のオプションは次のようです：-ボタンをクリックして所有権を取得します（所有権を台無しにし、大きなフォルダで年齢を取り、他の管理者には解決しません）-管理者トークンなしで機能するように、完全な権限を持つ各管理者アカウントを追加します（管理者混乱、グループのポイントは何ですか）

これは本当に迷惑なデザインです。それはどのように機能するはずですか？管理者が管理者がアクセスできるフォルダに移動する「正しい」方法は何ですか？

windows windows-server-2008 uac

— テッセレーション
ソース

1

Explorer は、そのマシンのローカル管理者としてログインしている場合にのみ昇格して実行されると思います。

— ジョン

2

これが、msがサーバーでのuacの使用に関するセキュリティの推奨事項を更新した理由の1つです。 support.microsoft.com/kb/2526083

— トニーロス2013

トニー、これは私にとって完全な驚きです。サーバーサイドにはこれ以上大きな利益はありませんし、絶対にあり得ないという Microsoftの言うUACプロンプトに長い間気を配っていた後です。引用： "" "すべての管理ユーザーのタスクに管理者権限が必要であり、各タスクが昇格プロンプトをトリガーする可能性がある場合、プロンプトは生産性を妨げるだけです。このコンテキストでは、そのようなプロンプトは、開発の奨励という目標を促進することはできません。標準ユーザー権限 "" "を必要とするアプリケーション。鮮やかさ。UACをオフにするMS承認！（特定の限られた状況）。

— TessellatingHeckler 2013

このステートメントは、「UACは、管理者がWebブラウザー、電子メールクライアント、インスタントメッセージングクライアントなどの危険なアプリケーションをサーバーで実行する場合、または管理者がWindows 7などのクライアントオペレーティングシステムから実行する必要があるその他の操作を実行する場合にも有効なままにする必要があります。」これらすべての鍵です。

— トニーロス2013

昇格した特権でエクスプローラーを実行できopen Task Manager, go to details, kill the existing explorer running as your user.ます。最初に（注：スタートメニューやフォルダーなどは表示されなくなります）、その後もタスクマネージャーに

Click File, Start New Process, Type Explorer, and select the "Run task with administrative privileges" checkbox, and hit OK

表示されます：スタートメニューが再び表示され、昇格せずに続行できます。管理ユーザーのグループを介してのみアクセス許可を持つフォルダーまたはファイルにアクセスするたび。

— Ben Personick

4

解決策は、サーバーをリモートで簡単に管理することです。管理者権限のUACフィルタリングは、ローカルシステムにアクセスしているときにのみ適用されます。

Server Coreのリリースに伴い、マイクロソフトはサーバーに直接接続して管理するのではなく、サーバーをリモートで管理することを強く推奨しています。

もちろん、非常に小規模なネットワークを使用している場合、これは実現できない可能性があるため、UACを無効にするか、ファイルシステムのアクセス許可を調整して、管理者ではなく別のグループを使用してアクセス許可を付与します。

— ゾレダケ
ソース

だから例えば。\\ localhost \ c $により、管理者は管理者として表示できますか？これが以前に行われたのを見たと思います。

— ジョン

しかし、デスクトップに管理者としてログインしていないため、これはまったく解決策ではありません。（私は同じドメインにログインしていませんし、それらの間に信頼関係はありません））。

— TessellatingHeckler 2013

ログインに使用した資格情報を使用してリモートシステムにアクセスする必要はありません。管理者としてリモートシステムに接続します。 net use \\server\share /user:adminuser。

— Zoredache 2013

これは正しい一般的な答えですが、効果的に管理または再構成するためにデスクトップとの対話を必要とするMicrosoftおよびOEMサーバー製品はまだ多すぎます。元の質問は有効であり、「Windows」サーバーデスクトップのソリューションが必要です。Microsoftのデフォルトでは、すべてのローカルユーザーがルートからすべてを読み取り、作成するためのアクセスを許可しないと、これをサポートしないのは奇妙です。@PaGeYからの回答に提案された編集に多くの詳細を追加したので、彼がそれを受け入れてくれることを願っています。

— トニーウォール

6

最善の方法は、そのフォルダーの管理者と見なすメンバーを含む新しいグループを定義することです。ADドメインがある場合は、ADでこのグループを作成し、そのグループを（ローカルマシンの）Administratorsグループに追加すると、2つのグループを管理する必要がなくなります。

注：これをローカルで試す場合は、新しいアクセス許可を有効にするためにログオフしてから再度ログインする必要があることに注意してください。

— ジョン
ソース

もっと早く検討したかったのですが。やや煩わしいですが、管理オーバーヘッドが低く、他のものを壊す可能性はほとんどありません。

— TessellatingHeckler 2013

1

これが私たちが問題を解決した方法です。「Billing-Dept」、「IT-Dept」などのグループがあります。単一のフォルダーのコンテキストでは、「Domain Admins」よりもはるかに理にかなっています。

— ダン

2

この制限を簡単に回避するには、2つのオプションがあります。

任意のファイルマネージャーを使用し（合計司令官など）、管理者として実行します（推奨）。
エクスプローラーのUAC制限を無効にします。http：//www.msfn.org/board/topic/144776-unable-to-open-an-elevated-windows-explorer-window/

— マーティンバインダー
ソース

1

1つ目は、これを回避する方法についての実際的な提案ですが、これを処理する方法をMicrosoftが意図することはできません。2つ目は賢くて興味深いですが、ライブサーバー上でそのようなレジストリ処理を行うことはしません。

— TessellatingHeckler 2013

0

ドライブのルートで、「インタラクティブ」と呼ばれる組み込みのプリンシパルに読み取り/実行権限を付与します。その後、UACを変更する必要はありません。

このようにして、デスクトップにリモートまたは「ローカル」（VMコンソールまたは物理的な画面とキーボード）でログインしたユーザーは、UACが有効になっていても、ファイルを参照してプログラムを実行できます。

たとえば、デフォルトの「ユーザーはrootからすべてを読み取り、作成できる」権限を削除してサーバーを適切にロックダウンすることができますが、効果的にログオン、ファイルを参照し、管理者として設定を変更する場所に移動することはできません。

セキュリティダイアログを開いて権限を変更する場合は、管理者として設定を変更するためのボタンが表示されます。したがって、両方の長所を利用できます。

「ローカル」の管理者/オペレーターによるディスクの構造と内容の閲覧に制限はありません。
非管理者による変更に対する保護。

標準のアクセス許可との唯一の違いは、ローカルの「ユーザー」アカウントだけがすべてを読み取ることができると言っているのではなく、Windowsコンソールへのアクセスを許可された人だけです。つまり、論理的には「物理」（または仮想）「インタラクティブ」サーバーアクセス、それは誰にでも与えられるだけではありません。これらのタイプのセッションを区別するより良い方法がない限り、これはターミナルサーバーでは機能しない可能性があります（知っている場合は編集をお勧めします）。

もちろん、最初のアドバイスは可能な限りサーバーコア/リモート管理を使用することです。しかし、そうでない場合、これにより、サーバーがデフォルトのユーザー権限であるという一般的な最終的な影響が回避され、最終的には何十もの個人ユーザーアカウント権限が至る所に適用されます。そして、それは実際には管理者の責任ではなく、特別な複雑さなしに標準ツールを使用して仕事をしようとしているだけです（通常はファイルエクスプローラーを使用するだけです）。

このソリューションのもう1つのプラスの効果は、ルートドライブのアクセス許可をロックダウンしても、デスクトップにログオンしている管理者がサーバーを「使用可能」にできるため、継承を無効にして上記から不要なアクセス許可を削除する必要がなくなることがよくあります。すべてのユーザーがデフォルトで共有パスの下にあるものを読み、作成できるという事実は、誰も「根本的な」原因に対処したくないときに継承を無効にする一般的な理由です;-)

— PaGeY
ソース

T.hisはより良い説明を必要としています。

— スヴェン

デスクトップが必要なときにこの答えは非常に良いので、私は完全な詳細を含む編集を提案しました。@PaGeYがそれを受け入れることを願っています。

— Tony Wall

@TonyWallあなたはおそらくあなた自身の答えを追加することを検討すべきです。

— Zoredache

0

「権限がない」ため、エクスプローラでフォルダを開けません。

「管理者として実行」しない限り、UACのために通常のプロセスには管理者権限トークンがないためだと思います。しかし、Windowsエクスプローラーではできません。

はい、問題を解決するために、昇格した特権でエクスプローラーを実行できます！

そのためには、次のことを行う必要があります。

開いた Task Manager
- Detailsタブに移動します
- Explorer.exeユーザーとして実行している既存の " "を強制終了します。
  - 注：スタートメニューやフォルダなどは表示されなくなりますが、これは正常です
- クリック File
- 「Start New Process」を選択
  - これにより、「新しいタスクの作成」ダイアログがポップアップします。
- タイプExplorer.exeドロップダウン：「オープン」に。
- Checkbox「Run task with administrative privileges」の次をチェック
- クリック OK
  - 昇格のプロンプトが表示されたら、をクリックしますaccept。

出来上がり！

スタートメニューが再表示され、Windowsエクスプローラーが昇格します。

昇格したプロセスとしてエクスプローラを実行しているため、昇格を必要とするエクスプローラアクションは、毎回昇格する必要なく機能します。

したがって、個々のアクションごとに昇格して実行する必要なく、フォルダーを削除したり、フォルダーをトラバースしたり、アクセス許可を確認したり、ファイルを読み取ったりできます。

私はこれに遭遇しました。プロンプトなしで昇格するために管理者承認モードを使用していますが、フォルダーとファイルを削除し、場合によってはそれらにアクセスするため、ユーザーが明示的な権限を持たずに昇格してローカル管理者のグループのメンバーである場合に問題が発生しますExplorerがその問題を解決しました。

— ベン・パーソニック
ソース