「続行をクリックしてこのフォルダーに永久にアクセスする」のプロンプトを無効にする(例:GPO経由)
http://support.Microsoft.com/en-us/kb/950934 は、管理者グループのメンバーがエクスプローラーを使用して、管理者グループのあるフォルダーに移動する方法を説明しています権限がある場合、ユーザーは「続行をクリックしてこのフォルダに永久にアクセスする」ように求められます。
これを行うと、エクスプローラーはフォルダーのACLを変更して、その特定のユーザーにフォルダーへのフルコントロールを付与します。 MSリンクは、このようにする必要がある設計制約を正確に記述します。
ただし、そのフォルダのアクセス権セットが破壊され、アクセス権の集中管理が事実上不可能になります。たとえば、指定されたユーザーが後でAdministratorsグループから削除された場合でも、そのACLエントリは存在していて、そのフォルダへのアクセスを許可しています。
私はUACを無効にするつもりはありません(実際、昇格と非昇格の区別はlikeです)。代わりのツールを使用して、昇格された方法でファイルをナビゲートおよび表示できます。
最終的な目的は、MSリンクで説明されている回避策の1つを実行することです(can昇格して実行する別のファイルナビゲーターを使用するか、ホワイトリストに登録されたフォルダーへのアクセスを制御する別のグループを定義します)。エクスプローラーがフォルダーのACLを思いのままに変更し続けると、これらの回避策を適用する必要がある場所を特定できなくなります(ACLの変更についてすべてのフォルダーを定期的に監査する場合を除きます)。
エクスプローラーで昇格されていない状態で実行しているときに制限付きフォルダーにアクセスしようとすると、標準の「アクセス拒否」メッセージが表示されます。
この「永続的にアクセスする」プロンプトを削除する設定(各ボックスで1回またはGPOのいずれか)がありますACの他の機能を保持したまま ?
NB:このプロンプトが存在する理由、その意味、および動作が現状のままである理由を完全に理解しています(ただし、必ずしも設計上の決定に同意するわけではありません)。ただし、ユーザーの業務慣行に関連する回避策や、UACまたはAdministratorsグループメンバーシップのメリット/落とし穴については話し合っていないことを指摘しておきます。
いいえ、ありません。
実際の唯一の解決策は、ファイルの閲覧にWindowsエクスプローラー以外のものを使用することです(もちろん、昇格して実行することです)。
問題は、Explorer.exeは最初に非管理者アクセストークンで起動され(GUIを表示するため)、新しいセッションは、管理者として起動されたものでも、この制限されたアクセストークンの動作を継承します。最初のExplorerインスタンスを管理トークンで起動する回避策がありますが、GUIから起動したものはすべて管理アクセストークンを継承し、事実上UACを無効にします。
TL; DR:ローカルのAdministratorsグループと並行して別のグループを作成し、管理者として承認された全員を両方のグループに追加します。次に、その2番目のグループがすべてのファイルとフォルダーのACLに含まれるようにします。ビルトインAdministratorユーザーとしてログオンまたは操作しないでください。
この問題はかなり長い間私を悩ませてきました。さまざまなフォルダー構造を参照しているときに、フォルダーACL(自分でクリーンアップしなかった他のユーザーも同様)から自分自身を常に削除しなければならないのはイライラします。それで、私は質問で言及された記事を読みました。この回答を書く必要があることを理解できました。続行する前に読むことをお勧めします。
私を悩ませた最初の質問のポイントは、それが「許可の集中管理を効果的に不可能にする」という著者の主張でした。最初はそれに同意しましたが、それについて考えた後、 "Least Privilege" の原則の要点を思い出しました。ローカルのAdministratorsアカウントとローカルのAdministratorsグループの目的の1つは、その原則に違反することです。最終的に、そのユーザーまたはそのグループのメンバーから何かを取り除くことはできません。はい、当面は拒否することができますが、拒否されたリソースへのアクセスを許可することにより、拒否を無効にする(エクスプロイトを使用せずに)能力はまだあります。したがって、Microsoftは、常に何らかの方法で常にすべてにアクセスできるユーザーが少なくとも1人必要であると信じているようです。けっこうだ。その議論はこの回答の範囲を超えています。
それでは、これは「権限の集中管理」にどのような影響を与えますか?原則に準拠するには、ローカル管理者とローカル管理者グループが存在しないと半分に見せかける必要があります(後で半分を説明します)。特権を制限することはできません。つまり、プリンシプルに違反します。そのため、そのアカウントのパスワードは秘密裏に保持され、そのグループのメンバーシップは切望されています。したがって、同じ効果的なアクセスが必要な場合は、各ドライブのルートに、すべてのサブフォルダとそのファイルによって(理想的には)継承されるフルコントロールを持つ独自のユーザーまたはグループが必要です。
ただし、実際には、そのユーザーまたはグループが日常的にアクセスを拒否されることはわかっていますが、それは重要なことの一部です。 「管理者」は、特定のファイルまたはフォルダにアクセスする人とアクセスしない人の最終的な仲裁者である必要があります。 「管理者」は、その固定ユーザーで具体化されます。はい、私たちの多くは便宜上「管理者」として活動していますが、そうすることは私たちの原則に違反しています。したがって、これに対処するために、Administratorsグループが存在し、そのメンバーである可能性があることを簡単に思い出すことができます(これはふりをする部分の半分です)。上記のグループ(またはユーザー)にリソース(最初にアクセス許可を継承する必要がある)へのアクセスを許可し、そのグループ(またはユーザー)が既に持っているため、コンプライアンスやセキュリティの要件について心配する必要はありません。それらが「管理者」として機能することをすでに許可されているため、そのリソースへの許可。
ただし、これには落とし穴があります。 「管理者」としてログインすることの利便性をあきらめたくなかったので、そのユーザーをグループに追加しましたが、それでも機能しませんでした。そのユーザーは固定ユーザーであり、特別なユーザーであり、UACを無効にしないと、その "特別な"品質をユーザーから削除する方法はありません。しかし、それがポイントです。マイクロソフトは、この原則の遵守に向けて私たちをさらに推進しようとしています。ユーザーを両方のグループに追加することで、リソースへのアクセスを自分自身に許可し、コンプライアンスと安全性の両方を維持し、煩わしいダイアログを回避することができました。
実際にISローカルでログオンしている管理ユーザーのためのこのプロンプトを回避する安全な方法があります。
- 問題のフォルダの[プロパティ]> [セキュリティ]ダイアログを開き、ACLを編集します。
次に[〜#〜] interactive [〜#〜]セキュリティプリンシパルを追加し、「フォルダの内容を一覧表示する」ための権限を付与します。これにより、次の権限が自動的に有効になります。
- フォルダのトラバース/ファイルの実行
- フォルダの一覧/データの読み取り
- 属性を読み取る
- 拡張属性を読み取る
これが機能する理由は、Windowsがフォルダー構造をたどり、フォルダーの内容を一覧表示するために、特権/管理者の資格情報に依存しなくなったためです。 INTERACTIVEとしての「認証」では、フォルダーを列挙するために特権資格情報を評価する必要がないため、UACプロンプトをキックする必要はありません。
CMDまたはPowerShellを管理者として実行するだけです。
dir *.* /w /s
またはPowerShellで管理者として:
フォルダ:
Get-ChildItem -Recurse -Directory | Measure-Object | %{$_.Count}
ファイル:
Get-ChildItem -Recurse -File | Measure-Object | %{$_.Count}
PS:Get-ChildItemが260文字を超えるパスで機能しない