web-dev-qa-db-ja.com

Windowsフォルダーのアクセス許可、管理者、UAC、これに対処する「正しい」方法は何ですか?

権限のあるフォルダがあります:

  • 管理者(グループ):フル。
  • J. Bloggs:フル。

管理者グループのメンバーとしてログインしています。

「権限がない」ため、エクスプローラでフォルダを開けません。

これは、「管理者として実行」しない限り、UACが原因で通常のプロセスには管理者権限トークンがないためだと思います。しかし、Windowsエクスプローラーではそれができません。

だから私のオプションは次のようです:-所有権を取得するためにボタンをクリックします(所有権を台無しにし、大きなフォルダで年齢をとる、他の管理者には解決しません)-完全な権限を持つ個々の管理者アカウントを追加して、管理者トークンなしで機能するようにします(管理者混乱、グループのポイントは何ですか)

これは本当に迷惑なデザインです。それはどのように機能するはずですか?管理者が管理者がアクセスできるフォルダに移動するための「正しい」方法は何ですか?

windowswindows-server-2008uac
8
TessellatingHeckler

解決策は、サーバーをリモートで管理することです。管理者権限のUACフィルタリングは、ローカルシステムにアクセスしているときにのみ適用されます。

Server Coreのリリースに伴い、マイクロソフトはサーバーに直接接続して管理するのではなく、サーバーをリモートで管理することを強く推奨しています。

もちろん、非常に小規模なネットワークを使用している場合、これは実現できない可能性があるため、UACを無効にするか、ファイルシステムのアクセス許可を調整して、管理者ではなく別のグループを使用してアクセス許可を付与します。

4
Zoredache

最善の方法は、そのフォルダーの管理者と見なすメンバーを含む新しいグループを定義することです。 ADドメインがある場合は、ADでこのグループを作成し、そのグループを(ローカルマシンの)Administratorsグループに追加すると、2つのグループを管理する必要がなくなります。

注:これをローカルで試す場合は、新しいアクセス許可を有効にするためにログオフしてから再度ログインする必要があることに注意してください。

6
john

この制限を簡単に回避するには、2つのオプションがあります。

2
Martin Binder

ドライブのルートで、「インタラクティブ」と呼ばれる組み込みのプリンシパルに読み取り/実行権限を付与します。その後、UACを変更する必要はありません。

Interactive drive root permissions dialog.

このようにして、デスクトップにリモートまたは「ローカル」(VMコンソールまたは物理的な画面とキーボード)でログインしたユーザーは、UACが有効になっていても、ファイルを参照してプログラムを実行できます。

たとえば、デフォルトの「ユーザーはrootからすべてを読み取り、作成できる」権限を削除してサーバーを慎重にロックダウンすることができますが、効果的にログオンし、ファイルを参照し、管理者として設定を変更する場所に移動することができなくなります。

セキュリティダイアログを開いて権限を変更する場合は、管理者として設定を変更するためのボタンが表示されます。したがって、両方の長所を利用できます。

  1. 「ローカル」の管理者/オペレーターがディスクの構造と内容を参照することに制限はありません。
  2. 非管理者による変更に対する保護。

標準のアクセス許可との唯一の違いは、ローカルの「ユーザー」アカウントだけがすべてを読み取ることができると言っているのではなく、Windowsコンソールへのアクセスを許可された人だけです。つまり、論理的には「物理」(または仮想)「インタラクティブ」サーバーアクセスを意味します、それは誰にでも与えられるだけではありません。これらのタイプのセッションを区別するより良い方法がない限り、これはターミナルサーバーでは機能しない可能性があります(わかっている場合は編集をお勧めします)。

もちろん、最初のアドバイスは可能な限りサーバーコア/リモート管理を使用することです。しかし、そうでない場合、これは、サーバーがデフォルトのユーザーのアクセス許可を削除するという一般的な最終的な影響を回避するのに役立ち、何十もの個人ユーザーアカウントのアクセス許可があらゆる場所に適用されます。そして、それは実際には管理者の責任ではなく、特別な複雑さなしに標準ツールを使用して仕事をしようとしているだけです(通常はファイルエクスプローラーを使用するだけです)。

このソリューションのもう1つのプラスの効果は、ルートドライブのアクセス許可をロックダウンしても、管理者がデスクトップにログオンしてサーバーを「使用可能」にできることです。継承を無効にして不要なアクセス許可を上から削除する必要がなくなることがよくあります。すべてのユーザーがデフォルトで共有パスの下にあるものを何でも読み取り、作成できるという事実は、誰も「根本的な」原因に対処したくないときに継承を無効にする一般的な理由です;-)

0
PaGeY

「権限がない」ため、エクスプローラでフォルダを開けません。

これは、「管理者として実行」しない限り、UACのために通常のプロセスには管理者権限トークンがないためだと思います。しかし、Windowsエクスプローラーではそれができません。

はい、問題を解決するために、特権を昇格してエクスプローラーを実行できます!

そのためには、次のことを行う必要があります:

  • Task Manager を開く
    • Detailsタブに移動します
    • ユーザーとして実行している既存の「Explorer.exe」を強制終了します。
      • 注:スタートメニューやフォルダなどが消えます、これは正常です
    • Fileをクリックします
    • Start New Process」を選択します
      • 「新しいタスクの作成」ダイアログがポップアップします。
    • [Open:]ドロップダウンに「Explorer.exe」と入力します。
    • Run task with administrative privileges」の横のCheckboxを確認してください
    • OK [.____]をクリックします。
      • 標高のプロンプトが表示されたら、acceptをクリックします。

出来上がり!

[スタート]メニューが再表示され、Windowsエクスプローラーが昇格します!

昇格したプロセスとしてエクスプローラーを実行しているため、昇格を必要とするエクスプローラーアクションは、毎回昇格する必要なく機能します。

したがって、個々のアクションごとに昇格して実行する必要なく、フォルダーを削除したり、フォルダーを走査したり、アクセス許可を確認したり、ファイルを読み取ったりすることができます。

私は管理者承認モードを使用してプロンプトなしで昇格するため、これに遭遇しましたが、フォルダーとファイルの削除、およびそれらへのアクセスのために、ユーザーがローカル管理者のグループのメンバーである場合に問題が発生しますod明示的な権限を持ち、エクスプローラーを昇格させることでこの問題は解決しました。

0
Ben Personick