Permissões de pasta do Windows, Administradores e UAC, qual é a maneira "certa" de lidar com isso?

8

Eu tenho uma pasta com permissões:

  • Administradores (grupo): Completo.
  • J. Bloggs: Completo.

Estou logado como membro do grupo Administradores.

Não consigo abrir a pasta no Explorer porque "você não tem permissão".

Suspeito que isso ocorra porque os processos normais não têm o token de permissão de administrador por causa do UAC, a menos que você também 'execute como administrador'. Mas não posso fazer isso no Windows Explorer, posso?

Portanto, minhas opções parecem ser: - Clique no botão para assumir a propriedade (destrói a propriedade, leva anos em pastas grandes, não resolve outros administradores) - Adicione cada conta de administrador individual com permissões totais para que funcione sem o token de administrador (administrativo bagunça, qual é o objetivo em grupos)

Este é um design realmente irritante, devo estar faltando alguma coisa. Como é que isso funciona? Qual é a maneira 'certa' de um administrador acessar uma pasta à qual os administradores têm acesso?

windows windows-server-2008 uac TessellatingHeckler
fonte
1
Acho Explorer apenas corridas elevado quando você está conectado como o administrador local daquela máquina.
9133 john
2
Esta é uma das razões pelas quais ms atualizou suas recomendações de segurança sobre o uso de uac em servidores. support.microsoft.com/kb/2526083
tony roth '
Tony, isso é uma completa surpresa para mim, depois de tanto tempo atendendo às solicitações do UAC "para o bem maior", ao ouvir a Microsoft dizer que não existe e nunca pode haver um bem maior no lado do servidor. Citação: "" "Quando todas as tarefas do usuário administrativo exigem direitos administrativos e cada tarefa pode acionar um prompt de elevação, os prompts são apenas um obstáculo à produtividade. Nesse contexto, esses prompts não promovem nem podem promover o objetivo de incentivar o desenvolvimento de aplicativos que exigem direitos de usuário padrão "" ". Brilhante. Aprovação da MS para desativar o UAC! (em determinadas situações limitadas).
TessellatingHeckler
esta declaração "O UAC também deve permanecer ativado se os administradores executam aplicativos arriscados no servidor, como navegadores da Web, clientes de email ou clientes de mensagens instantâneas, ou os administradores executam outras operações que devem ser executadas em um sistema operacional cliente como o Windows 7." é a chave para tudo isso.
tony roth
Você PODE executar o Explorer com privilégios elevados. Primeiro: open Task Manager, go to details, kill the existing explorer running as your user.(Nota: o menu Iniciar, as pastas etc. desaparecerão) e, ainda no gerenciador de tarefas: O Click File, Start New Process, Type Explorer, and select the "Run task with administrative privileges" checkbox, and hit OKmenu Iniciar será exibido novamente, agora você poderá continuar sem precisar elevar. toda vez que você acessa uma pasta ou arquivo ao qual você tem permissão somente através do grupo de usuários administrativos.
Ben Personick

Respostas:

4

A solução é simplesmente gerenciar o servidor remotamente. A filtragem do UAC dos privilégios de administrador se aplica somente quando você está acessando o sistema local.

Com o lançamento do Server Core, a Microsoft incentivou fortemente as pessoas a administrar remotamente servidores em vez de se conectarem diretamente a eles para gerenciá-los.

Obviamente, se você possui uma rede muito pequena, isso pode não ser viável; portanto, desabilitar o UAC é bom ou ajustar as permissões do sistema de arquivos para que outro grupo seja usado em vez de administradores para conceder permissões.

Zoredache
fonte
Então, por exemplo. \\ localhost \ c $ permite que os administradores visualizem como administrador? Acho que já vi isso feito antes.
john
Mas isso não é uma solução, porque não estou logado como administrador na minha área de trabalho. (Eu nem estou logado no mesmo domínio e não há relação de confiança entre eles)).
TessellatingHeckler
Você não precisa acessar o sistema remoto usando as credenciais usadas para fazer login. Conecte-se ao sistema remoto como administrador. net use \\server\share /user:adminuser.
Zoredache
Essa é a resposta geral correta, mas ainda existem muitos produtos de servidor da Microsoft e OEM que requerem interação com a área de trabalho para gerenciá-los ou reconfigurá-los efetivamente. A pergunta original é válida e é necessária uma solução para a área de trabalho do servidor "Windows". É estranho que os padrões da Microsoft não suportem isso sem conceder a todos os usuários locais acesso para ler e criar tudo a partir da raiz. Eu adicionei muitos detalhes em uma edição sugerida à resposta de @PaGeY, então espero que ele aceite isso, porque atualmente acredito que seja a melhor alternativa quando o administrador principal não for possível.
Tony Muro
6

A melhor maneira é definir um novo grupo contendo membros que você considera administradores dessa pasta. Se você tiver um domínio do AD, poderá criar esse grupo no AD e adicioná-lo ao grupo Administradores (da máquina local) e evitar a administração de dois grupos.

Nota: Se você estiver tentando isso localmente, lembre-se de que precisa fazer logoff e logon novamente para que as novas permissões entrem em vigor.

John
fonte
Eu gostaria de ter considerado isso antes. É um pouco irritante, mas com uma sobrecarga administrativa baixa e provavelmente não interromperá mais nada.
TessellatingHeckler
1
Foi assim que resolvemos o problema. Temos grupos como "Departamento de cobrança", "Departamento de TI" etc. Faz muito mais sentido no contexto de uma única pasta do que "Administradores de domínio".
Dan
2

Existem duas opções para contornar essa limitação facilmente:

Martin Binder
fonte
1
A primeira é uma sugestão pragmática de você para contornar isso, mas não pode ser a intenção da Microsoft de como lidar com isso, isso seria ridículo. O segundo é inteligente e interessante, mas não estou fazendo esse tipo de registro em servidores ativos.
TessellatingHeckler
0

Conceda permissão de Leitura / Execução na raiz da unidade, o principal interno chamado "Interativo". Então, nenhuma alteração no UAC é necessária.

Caixa de diálogo de permissões de raiz da unidade interativa.

Dessa forma, as pessoas conectadas à área de trabalho remotamente ou "localmente" (console da VM ou tela e teclado físicos) ainda podem procurar arquivos e executar programas, mesmo com o UAC ativado.

Por exemplo, você pode remover a permissão padrão "Os usuários podem ler e criar tudo a partir da raiz" para bloquear o servidor de maneira sensata, mas evita a incapacidade de efetuar logon, procurar arquivos e navegar para onde deseja alterar as configurações como administrador.

Assim que você abre a caixa de diálogo de segurança e deseja alterar as permissões, um botão aparece para alterar as configurações como administrador. Então você obtém o melhor dos dois mundos:

  1. Nenhuma restrição à navegação "local" do administrador / operador na estrutura e no conteúdo dos discos.
  2. Proteção contra alterações por não administradores.

A única diferença para as permissões padrão é que não estamos dizendo que apenas as contas "Usuários" locais podem ler tudo, mas apenas as pessoas concederam acesso ao console do Windows, ou seja, logicamente significa acesso ao servidor "físico" (ou virtual) "interativo" , que não é concedido apenas a ninguém. Isso pode não funcionar para servidores de terminal, a menos que haja uma maneira melhor de distinguir entre esses tipos de sessões (sugerimos editar se você souber disso).

Obviamente, o primeiro conselho é usar o núcleo do servidor / administrador remoto sempre que possível. Mas, quando não, isso ajuda a evitar o efeito final comum de que um servidor em que as permissões de usuário padrão sejam removidas, com dezenas de permissões de conta de usuário pessoal aplicadas em todo o lugar. E não é realmente culpa do administrador, eles estão apenas tentando fazer seu trabalho com ferramentas padrão sem nenhuma complexidade especial (basta usar o File Explorer normalmente).

Outro efeito positivo dessa solução é poder bloquear as permissões da unidade raiz e ainda ter o servidor "utilizável" para o administrador conectado à área de trabalho; a necessidade de desativar a herança para remover permissões indesejadas de cima geralmente desaparece. O fato de todos os usuários poderem ler e criar o que quiserem abaixo do caminho compartilhado por padrão é um motivo comum para desativar a herança quando ninguém deseja lidar com a causa "raiz" ;-)

PaGeY
fonte
T.his precisa de uma explicação melhor.
Sven
Sugeri uma edição com todos os detalhes, porque essa resposta é bastante boa quando uma área de trabalho é necessária. Espero que @PaGeY aceite.
Tony Muro
@ TonyWall, você provavelmente deve adicionar sua própria resposta.
Zoredache
0

não pode abrir a pasta no Explorer porque "você não tem permissão".

Suspeito que isso ocorra porque os processos normais não têm o token de permissão de administrador por causa do UAC, a menos que você também 'execute como administrador'. Mas não posso fazer isso no Windows Explorer, posso?

Sim, você PODE executar o Explorer com privilégios elevados para resolver seu problema!

Para fazer isso, você deve:

  • aberto Task Manager
    • Vá para a Detailsguia
    • Mate a " Explorer.exe" execução existente como seu usuário.
      • Nota: o menu iniciar, as pastas etc. desaparecerão, isso é normal
    • Clique File
    • Selecione " Start New Process"
      • Isso exibe uma caixa de diálogo "Criar nova tarefa".
    • Digite Explorer.exeno menu suspenso "Abrir:".
    • Marque CheckboxAvançar para " Run task with administrative privileges"
    • Clique OK
      • Se o prompt de elevação aparecer, clique em accept.

Voila!

O menu Iniciar é exibido novamente e o Windows Explorer é Elevado!

Agora você está executando o Explorer como um processo elevado, para que todas as ações do explorador que requeiram elevação funcionem sem a necessidade de elevar a cada vez.

Portanto, você pode excluir uma pasta ou percorrer uma pasta ou verificar permissões ou ler um arquivo sem precisar executar uma tarefa elevada para cada ação individual.

Eu me deparei com isso porque usamos o modo de aprovação do administrador para elevar sem avisar, no entanto, para excluir pastas e arquivos e às vezes para acessá-los, isso está causando problemas quando o usuário é membro do grupo do administrador local, em vez de ter permissões expressas, elevando O Explorer resolveu esse problema.

Ben Personick
fonte