WindowsエクスプローラーとUAC：昇格して実行

私はUACに深く悩まされており、できる限り、管理者ユーザーに対してUACをオフにします。しかし、私ができない状況があります-特にそれらが私の継続的な管理下にないマシンである場合はなおさらです。

この場合、通常のユーザーが「読み取り」権限を持たないWindowsエクスプローラーを介して、管理ユーザーを使用してディレクトリをトラバースするタスクが常に要求されます。これまでにこの問題に対して考えられる2つのアプローチ：

1. （Windowsは便利提供しています私のユーザーを含めることが問題になっているディレクトリにACLを変更するContinueにはボタンを「あなたは現在このフォルダにアクセスする権限がありません」少なからず私はないので、ダイアログ。これは明らかに吸うていない ACLを変更したいですフォルダの内容を調べてください

2. 管理者特権のcmd.exeプロンプトと一連のコマンドラインユーティリティを使用します-通常、大規模なディレクトリ構造や複雑なディレクトリ構造を参照する場合、これには長い時間がかかります

私が見たいのは、Windows Explorerを昇格モードで実行する方法です。その方法を私はまだ見つけていません。しかし、システム全体の構成を変更せずに（そしてできれば何もダウンロード/インストールする必要なしに）控えめな方法でこの問題を解決する他の提案も大歓迎です。

私はこの投稿をHKCRを変更するための提案とともに見ました-興味深いですが、それはすべてのユーザーの動作を変更します。これはほとんどの状況で許可されていません。また、一部の人々はUNCパスを使用してフォルダーにアクセスすることを提案しています-残念ながら、同じマシン（つまり\\localhost\c$\path）にアクセスする場合、これは機能しません。"Administrators"グループメンバーシップがトークンと再認証から削除されるため、新しいトークンの）ローカルホストにアクセスするときに発生しません。

2012/8以前

（http://kb.cadzow.com.au:15384/cadzow/details.aspx?Print=Y&ID=2343の画像とオリジナルのアイデア）

1.管理コマンドプロンプトを開きます。
2.スタートメニューの[シャットダウン]をCtrl + Shift + Rtキーを押しながらクリックします。

3.を選択しますExit Explorer
。4.管理者explorer特権のコマンドプロンプトに入力して、Enterキーを押します。

現在、エクスプローラーは、昇格されたコマンドプロンプトが持っていた昇格されたコンテキストで実行されています。

2012/8

1.管理コマンドプロンプトを開きます。
2.タスクマネージャーを起動して展開しMore details
ます。3. Rt-クリックWindows Explorerして選択しますEnd task
。4 . 管理者特権のexplorerコマンドプロンプトに入力してEnterキーを押します。

現在、エクスプローラーは、昇格されたコマンドプロンプトが持っていた昇格されたコンテキストで実行されています。

注意してください。一度これを行うと、昇格したプログラムを実行できない場合があります。ダブルクリックするか、ファイルの関連付けを介して開くプログラムも昇格されて実行されます。

警告

エクスプローラーが「別のプロセスでフォルダーウィンドウを起動する」に設定されている場合（[フォルダーオプション]> [表示]）、メインのエクスプローラープロセスであっても、フォルダーウィンドウは表示されません。回避策は、このオプションを無効にして、すべてのフォルダウィンドウが昇格したエクスプローラプロセスの一部になるようにすることです。

UACをオフにしたり、Windowsエクスプローラーシェル全体を管理者モードで実行したりするのは良い考えではないと思います。

代わりに、別のツールを使用してファイル管理を行うことを検討してください。とにかく、エクスプローラーは多くのファイルを真剣に扱うための良いツールではないと思います。2つのペインが並んでいるプログラムは、これにはるかに適しています。

多くのエクスプローラー交換ツールがあり、無料のものや商用のものもあります。これらはすべて昇格して実行できるため、権限は問題ではなくなりました。2つの異なるものを使用することもできます。1つは通常の使用、もう1つは管理者による高度な使用です。

また、それらの多くはポータブルで実行されるため、インストールする必要はありません。いくつかのファイルをコピーして実行するだけです。

私は特定のツールを推奨していません。それは別の質問です

これは、UACが管理者として固有のアクセス権を持つフォルダーのトラバーサルを中断する理由を調査するまで、私にとっても不満でした。解決策があります：

1. UACをオンのままにする
2. フォルダACLに、セキュリティ原則「インタラクティブ」にフォルダの全探索とフォルダの内容の一覧表示を許可するACEを追加します。

これをフォルダーACLに追加すると、管理者はUACプロンプトに遭遇することなくフォルダー構造を参照できます。

これは仕様によるもののようです。詳細については、このスレッドを参照してください。

http://social.technet.microsoft.com/Forums/windows/en-US/1798a1a7-bd2e-4e42-8e98-0bc715e7f641/

そのスレッドのポスターAndre.Zieglerによると：

すでにお伝えしたように、Windows 7エクスプローラーはDCOMベースの起動方法[シック]を使用しているため、昇格したWindowsエクスプローラーを実行できません。

1つの解決策は、Explorer ++フリーウェアファイルマネージャーを使用することです。Explorer ++には、現在の特権レベルをタイトルバーに表示するオプションがあるため、昇格して実行されているかどうかを簡単に確認できます。

もう1つの解決策は、.NETに基づくもう1つの優れたフリーウェアファイルマネージャーであるNomad.NETを使用することです。

管理者特権のPowerShell ISEインスタンスを使用します。それが提供する[ファイル]ダイアログ自体は昇格されており、ディレクトリを走査することができます。

私はこの問題に遭遇し、サーバーでRDPを実行して、サーバーで何かをしました。

私にとっては、そうしないのです。ホームシステムのエクスプローラーからファイルにアクセスでき、完全なアクセス権が与えられます。

\\ remote.com \ c $制限なく管理者として必要なものにアクセスできます。

残りの問題は、作業中にシステム間でファイルを転送することですが、ファイルは小さいです。私は気にしません。

-ラリー

この動作がUACのポイントの1つであると、何人かの人々が貢献しています。つまり、立ち止まって、これからやろうとしていることについて考えさせることです。すでに述べたように、この見解に対する1つの応答は、一度尋ねられることは問題ありませんが、すべて尋ねられるわけではないということです。シングル。時間。やや引き抜かれた手順の間に。これは、家の中のある部屋から別の部屋に移動するたびに家の鍵を使いたくないということに似ています。

しかし、OPの状況と通常のUACプロンプトの状況の意味上の違いを指摘したいと思います。「現在、このフォルダーにアクセスする権限がありません」というプロンプトの付いたエクスプローラーメッセージは、標準のUACプロンプトと概念的には異なります。

通常のUAC要求をOKにすると、プログラムが管理者特権で（つまり、Administratorsグループの資格情報を使用して）実行することが許可されます。この付与は、プログラムが終了すると終了します。唯一の持続的な効果は、プログラムが昇格中に行った可能性のあるものです。

表示する権限のないフォルダーを探索しようとしたときに生成されるエクスプローラープロンプトをOKにすると、昇格したものは何も実行されません。代わりに、ファイルシステムのアクセス許可（ACL）を変更して、自分のユーザーにフォルダーへのフルコントロールアクセスを許可します。付与されたアクセス許可は、探索に必要な読み取り/トラバースフォルダーのアクセス許可よりもはるかに広いだけでなく、エクスプローラーがフォルダーにアクセスしている間だけではなく、（誰かが明示的に削除するまで）基本的に永続的です。

プロンプトが実際にAdministratorsグループの資格情報を使用してエクスプローラーを実行することを意味している場合、それは別の問題であり、通常のUACプロンプトに非常に類似しています（これは、管理者権限を使用して権限を表示/編集するように求められた場合に発生するようです） Advanced Security Settingsフォーム）。もちろん、これは、Administratorsグループにファイルシステムのアクセス許可をバイパスするためのカルテブランチがないため、Administratorsが実際に必要なアクセス権を持っている場合にのみ機能します。これについての適切な説明は見つかりませんでしたが、最終的にはすべてのAdministratorsグループがデフォルトの「フルコントロールを許可する」であり、明示的な「拒否」権限を使用して拒否できるため、ファイルアクセスは保証されません。

余談ですが、この記事のアクセス許可をテストしているときに、オブジェクトの所有権を変更すると、OWNERビルトインプリンシパル（Windowsのバージョンに応じてさまざまな名前が付けられます）のACLエントリが変更されることがあります。通常の選択肢の1つではなく、「何も」に適用されること（たとえば、「このフォルダー」）。これは、所有者へのアクセスを拒否するACLで少なくとも2回発生しました。

他の1つの観察は、ファイルシステムの基本的な動作と、アクセス許可の変更に使用されているUIから追加された装飾（この場合は、Windowsエクスプローラーの[セキュリティの詳細設定]フォーム）を特定することが非常に難しいことです。 。たとえば、ある時点で、TAKEOWNコマンドラインツールは、 "Take Ownership"アクセス権が偶然与えられた非特権ユーザーに、フォルダーの所有権を取得することを（正しく）許可します。この。