Windows Explorer และ UAC: เรียกใช้การยกระดับ

ฉันรู้สึกหงุดหงิดอย่างมากจาก UAC และปิดการใช้งานสำหรับผู้ดูแลระบบของฉันทุกที่ที่ทำได้ แต่มีบางสถานการณ์ที่ฉันไม่สามารถทำได้โดยเฉพาะอย่างยิ่งหากเป็นเครื่องที่ไม่ได้อยู่ภายใต้การดูแลอย่างต่อเนื่องของฉัน

ในกรณีนี้ฉันมักถูกท้าทายด้วยการทำงานของไดเรกทอรีภายในโดยใช้ผู้ดูแลระบบของฉันผ่าน Windows Explorer ที่ผู้ใช้ทั่วไปไม่มีสิทธิ์ "อ่าน" สองวิธีที่เป็นไปได้ในการแก้ไขปัญหานี้:

1. เปลี่ยน ACL เป็นไดเรกทอรีที่มีปัญหาเพื่อรวมผู้ใช้ของฉัน (Windows เสนอContinueปุ่มในกล่องโต้ตอบ"คุณไม่ได้รับอนุญาตให้เข้าถึงโฟลเดอร์นี้"สิ่งนี้เห็นได้ชัดว่าแย่มากเนื่องจากบ่อยกว่าฉันไม่ต้องการเปลี่ยน ACL แต่เพียงดูเนื้อหาของโฟลเดอร์

2. ใช้พรอมต์ cmd.exe พร้อมกับยูทิลิตีบรรทัดคำสั่ง - ซึ่งมักใช้เวลานานในการค้นหาโครงสร้างไดเรกทอรีขนาดใหญ่และ / หรือซับซ้อน

สิ่งที่ฉันชอบที่จะเห็นจะเป็นวิธีการเรียกใช้ Windows Explorer ในโหมดยกระดับ ฉันยังไม่ทราบวิธีการทำ แต่ข้อเสนอแนะอื่น ๆ ที่แก้ปัญหานี้ด้วยวิธีที่ไม่เป็นการรบกวนโดยไม่ต้องเปลี่ยนการกำหนดค่าระบบทั้งหมด (และโดยเฉพาะอย่างยิ่งโดยไม่จำเป็นต้องดาวน์โหลด / ติดตั้งอะไร) ก็ยินดีเช่นกัน

ฉันเห็นโพสต์นี้พร้อมคำแนะนำสำหรับการแก้ไข HKCR - น่าสนใจ แต่มันเปลี่ยนพฤติกรรมของผู้ใช้ทุกคนซึ่งฉันไม่ได้รับอนุญาตให้ทำในสถานการณ์ส่วนใหญ่ นอกจากนี้บางคนแนะนำให้ใช้เส้นทาง UNC เพื่อเข้าถึงโฟลเดอร์ - โชคไม่ดีที่สิ่งนี้ไม่ทำงานเมื่อเข้าถึงเครื่องเดียวกัน (เช่น\\localhost\c$\path) เนื่องจากสมาชิกกลุ่ม "ผู้ดูแลระบบ" ยังคงถูกถอดออกจากโทเค็นและการรับรองความถูกต้องอีกครั้ง โทเค็นใหม่) จะไม่เกิดขึ้นเมื่อเข้าถึง localhost

PRE-2012/8

(ภาพและแนวคิดดั้งเดิมจากhttp://kb.cadzow.com.au:15384/cadzow/details.aspx?Print=Y&ID=2343 )

1. เปิดพรอมต์คำสั่งของผู้ดูแลระบบ
2. Ctrl + Shift + Rt-click เมื่อปิดเครื่องในเมนูเริ่มต้น

3. เลือกExit Explorer
4. พิมพ์explorerพรอมต์คำสั่งที่ยกระดับแล้วกด Enter

Explorer กำลังทำงานในบริบทที่ยกระดับที่พรอมต์คำสั่งยกระดับ

2012/8

1. เปิดพรอมต์คำสั่งของผู้ดูแลระบบ
2. เริ่มตัวจัดการงานและขยายออกMore details
3. คลิก Rt Windows ExplorerและเลือกEnd task
4. พิมพ์explorerเข้าสู่พรอมต์คำสั่งที่ยกระดับแล้วกด Enter

Explorer กำลังทำงานในบริบทที่ยกระดับที่พรอมต์คำสั่งยกระดับ

จดบันทึกเมื่อคุณทำเช่นนี้คุณอาจประสบปัญหาในการไม่ยกระดับโปรแกรม โปรแกรมใด ๆ ที่คุณดับเบิลคลิกหรือเปิดไฟล์ผ่านทางสมาคมจะยังทำงานสูง

ข้อแม้

หากตั้งค่า Explorer เป็น "เรียกใช้หน้าต่างโฟลเดอร์ในกระบวนการแยกต่างหาก" (ตัวเลือกโฟลเดอร์> มุมมอง) หน้าต่างโฟลเดอร์จะไม่ได้รับการยกระดับแม้ว่ากระบวนการสำรวจหลักจะเป็นเช่นนั้น วิธีแก้ไขคือปิดใช้งานตัวเลือกนี้เพื่อให้หน้าต่างโฟลเดอร์ทั้งหมดเป็นส่วนหนึ่งของกระบวนการสำรวจที่ยกระดับ

ฉันไม่คิดว่าเป็นความคิดที่ดีที่จะปิด UAC หรือใช้งานเชลล์ Windows Explorer ทั้งหมดในโหมดยกระดับ

ให้คิดถึงการใช้เครื่องมือต่าง ๆ แทนการจัดการไฟล์ของคุณ ฉันคิดว่า Explorer ไม่ใช่เครื่องมือที่ดีในการทำงานอย่างจริงจังกับไฟล์จำนวนมากอย่างไรก็ตาม โปรแกรมที่มีบานหน้าต่างสองบานแบบเคียงข้างกันเหมาะกว่าสำหรับสิ่งนี้

มีเครื่องมือที่ใช้แทน Explorer ได้มากมายมีให้ใช้ฟรีบางประเภทเป็นเครื่องมือเชิงพาณิชย์ พวกเขาทั้งหมดสามารถเรียกใช้การยกระดับเพื่อให้สิทธิ์จะไม่มีปัญหาอีกต่อไป คุณอาจต้องการใช้สองแบบที่แตกต่างกัน หนึ่งรายการสำหรับการใช้งานปกติหนึ่งรายการสำหรับการใช้งานระดับผู้ดูแล

นอกจากนี้ยังมีอุปกรณ์พกพามากมายดังนั้นคุณไม่จำเป็นต้องติดตั้งเพียงคัดลอกไฟล์สองสามไฟล์แล้วเปิดใช้งาน

ฉันไม่ได้ให้คำแนะนำสำหรับเครื่องมือเฉพาะนั่นเป็นคำถามที่แตกต่าง

สิ่งนี้น่าผิดหวังสำหรับฉันเช่นกันจนกระทั่งฉันได้ศึกษาว่าเหตุใด UAC จึงขัดจังหวะการข้ามผ่านโฟลเดอร์ที่ฉันมีสิทธิ์เข้าถึงโดยธรรมชาติในฐานะผู้ดูแลระบบ มีทางออกคือ:

1. เปิด UAC ไว้
2. ใน ACL โฟลเดอร์ของคุณเพิ่ม ACE ที่ให้หลักการความปลอดภัย "INTERACTIVE" สิทธิ์ในการสำรวจโฟลเดอร์และเนื้อหารายการโฟลเดอร์

หากคุณเพิ่มสิ่งนั้นลงใน ACL ของโฟลเดอร์ผู้ดูแลระบบของคุณจะสามารถเรียกดูโครงสร้างโฟลเดอร์ได้โดยไม่ต้องกด UAC

สิ่งนี้ดูเหมือนจะเกิดจากการออกแบบ ดูกระทู้นี้สำหรับข้อมูลเพิ่มเติม:

http://social.technet.microsoft.com/Forums/windows/en-US/1798a1a7-bd2e-4e42-8e98-0bc715e7f641/

อ้างอิงจากโปสเตอร์ Andre.Ziegler ในหัวข้อนั้น:

ตามที่ฉันบอกคุณแล้ว Windows 7 Explorer ใช้ DCOM เริ่มต้น methode [sic] ซึ่งป้องกันคุณจากการเรียกใช้ windows explorer ที่ยกระดับ

ทางออกหนึ่งคือการใช้ตัวจัดการไฟล์ฟรีแวร์Explorer ++ Explorer ++ มีตัวเลือกในการแสดงระดับสิทธิ์ปัจจุบันในแถบหัวเรื่องเพื่อให้คุณสามารถดูได้อย่างง่ายดายว่าระดับสิทธิ์นั้นสูงขึ้นหรือไม่

อีกวิธีคือใช้Nomad.NETโปรแกรมจัดการไฟล์ฟรีแวร์ที่ดีอีกตัวที่ใช้. NET

ใช้อินสแตนซ์ PowerShell ISE ที่ยกระดับ ไดอะล็อกไฟล์ที่จัดเตรียมนั้นมีการยกระดับตัวเองทำให้คุณสามารถสำรวจไดเรคทอรีได้

ฉันพบปัญหานี้ RDPing ในเซิร์ฟเวอร์เพื่อทำสิ่งต่าง ๆ กับพวกเขา

สำหรับฉันมันเป็นกรณีที่ไม่ทำอย่างนั้น ฉันสามารถเข้าถึงไฟล์จาก explorer บนระบบโฮมของฉันและทำให้ฉันเข้าถึงได้อย่างเต็มที่

\\ remote.com \ c $ รับสิ่งที่ฉันต้องการในฐานะผู้ดูแลระบบโดยไม่มีข้อ จำกัด

ปัญหาที่เหลือคือคุณกำลังถ่ายโอนไฟล์ระหว่างระบบในขณะที่ทำงานกับพวกเขา แต่สำหรับไฟล์ขนาดเล็ก ฉันไม่สนใจ

ลาร์รี

หลายคนมีส่วนร่วมว่าพฤติกรรมนี้เป็นหนึ่งในประเด็นของ UAC: เพื่อทำให้คุณหยุดและคิดเกี่ยวกับสิ่งที่คุณกำลังจะทำ หนึ่งการตอบสนองต่อมุมมองนี้ที่ระบุไว้แล้วคือการถูกถามครั้งเดียวเป็นเรื่องปกติ แต่ไม่ถูกถามทุกคน เดียว เวลา. ในระหว่างขั้นตอนการดึงออก ค่อนข้างคล้ายกับที่ไม่ต้องการใช้กุญแจบ้านทุกครั้งที่คุณไปจากห้องหนึ่งไปอีกห้องหนึ่งในบ้าน

แต่ฉันต้องการชี้ให้เห็นความแตกต่างทางความหมายระหว่างสถานการณ์ของ OP และสถานการณ์ปกติของ UAC prompt: ข้อความ explorer ที่มีข้อความแจ้งว่า "ขณะนี้คุณไม่มีสิทธิ์ในการเข้าถึงโฟลเดอร์นี้" ไม่ใช่แนวคิดเหมือนกับ UAC prompt มาตรฐาน

เมื่อคุณตกลงคำขอ UAC ปกติคุณจะอนุญาตให้โปรแกรมรันการยกระดับ (นั่นคือด้วยข้อมูลประจำตัวของกลุ่มผู้ดูแลระบบ); การให้สิทธิ์นี้จะสิ้นสุดลงเมื่อโปรแกรมสิ้นสุด เอฟเฟกต์ที่ยั่งยืนเพียงอย่างเดียวคือสิ่งที่โปรแกรมสามารถทำได้ขณะยกระดับ

เมื่อคุณตกลงพรอมต์ของ explorer ที่สร้างขึ้นเมื่อคุณลองสำรวจในโฟลเดอร์ที่คุณไม่ได้รับอนุญาตให้ดูคุณจะไม่เรียกใช้สิ่งที่ยกระดับ แต่คุณกำลังแก้ไขการอนุญาตของระบบไฟล์ (ACLs) เพื่อให้สิทธิ์การควบคุมโฟลเดอร์แบบเต็มสำหรับผู้ใช้ของคุณ ไม่เพียง แต่การอนุญาตที่ได้รับจะมีความกว้างมากกว่าสิทธิ์การอ่าน / การสำรวจโฟลเดอร์ที่ต้องใช้การอนุญาตนี้เป็นสิ่งสำคัญถาวร (จนกว่าจะมีคนลบอย่างชัดแจ้ง) แทนที่จะเป็นเพียงระยะเวลาการเยี่ยมชมของนักสำรวจ

หากพรอมต์หมายถึงการเรียกใช้ explorer โดยใช้ข้อมูลประจำตัวของกลุ่มผู้ดูแลระบบนั่นจะเป็นเรื่องที่แตกต่างและคล้ายกับ UAC พรอมต์ปกติมากขึ้น (ซึ่งจะปรากฏขึ้นว่าจะเกิดอะไรขึ้นถ้าคุณได้รับแจ้งให้ใช้ แบบฟอร์มการตั้งค่าความปลอดภัยขั้นสูง) ซึ่งแน่นอนว่าจะใช้งานได้ก็ต่อเมื่อผู้ดูแลระบบมีการเข้าถึงที่จำเป็นเนื่องจากกลุ่มผู้ดูแลระบบไม่มี carte blanche เพื่อข้ามการอนุญาตระบบไฟล์ ฉันไม่พบคำอธิบายที่ดีเกี่ยวกับเรื่องนี้ แต่ท้ายที่สุดแล้วกลุ่มผู้ดูแลระบบทั้งหมดดูเหมือนว่าจะได้รับเป็นค่าเริ่มต้น "อนุญาตการควบคุมเต็มรูปแบบ" และการเข้าถึงไฟล์ไม่มั่นใจเพราะสามารถปฏิเสธได้โดยใช้สิทธิ์ "ปฏิเสธ" อย่างชัดเจน

ในขณะที่การทดสอบสิทธิ์การเข้าถึงสำหรับบทความนี้ฉันสังเกตว่าการเปลี่ยนความเป็นเจ้าของวัตถุจะเปลี่ยนแปลงรายการ ACL สำหรับ OWNER ในตัว (ซึ่งจะอยู่ภายใต้ชื่อต่าง ๆ ขึ้นอยู่กับรุ่นของ Windows) ดังนั้น พวกเขาใช้กับ "ไม่มีอะไร" มากกว่าหนึ่งในตัวเลือกปกติ (เช่น "โฟลเดอร์นี้") เรื่องนี้เกิดขึ้นอย่างน้อยสองครั้งสำหรับ ACL ที่ปฏิเสธการเข้าถึงเจ้าของ

อีกข้อสังเกตหนึ่งที่ยากมากในการพิจารณาว่าพฤติกรรมใดเป็นพฤติกรรมที่เปลือยเปล่าของระบบไฟล์และสิ่งที่เพิ่มการปรุงแต่งจาก UI ที่ใช้ในการแก้ไขการอนุญาต (ในกรณีนี้คือรูปแบบการตั้งค่าความปลอดภัยขั้นสูงของ Windows Explorer) . ยกตัวอย่างเช่น ณ จุดหนึ่งเครื่องมือบรรทัดคำสั่ง TAKEOWN จะ (อนุญาตอย่างถูกต้อง) เพื่อให้ผู้ใช้ที่ไม่มีสิทธิที่ได้รับสิทธิ์ "ใช้ความเป็นเจ้าของ" เข้าถึงเพื่อเป็นเจ้าของโฟลเดอร์ซึ่งการตั้งค่าความปลอดภัยขั้นสูงยืนยันว่าป้อนข้อมูลประจำตัวของผู้ดูแลระบบ นี้.