Permisos de carpetas de Windows, Administradores y UAC, ¿cuál es la forma "correcta" de lidiar con esto?

8

Tengo una carpeta con permisos:

  • Administradores (grupo): completo.
  • J. Bloggs: completo.

He iniciado sesión como miembro del grupo Administradores.

No puedo abrir la carpeta en el Explorador porque "no tienes permiso".

Sospecho que esto se debe a que los procesos normales no tienen el token de permiso de administrador debido a UAC, a menos que también 'se ejecute como administrador'. Pero no puedo hacer eso para Windows Explorer, ¿verdad?

Entonces, mis opciones parecen ser: - Haga clic en el botón para tomar posesión (arruina la propiedad, toma años en carpetas grandes, no resuelve para otros administradores) - Agregue cada cuenta de administrador individual con permisos completos para que funcione sin el token de administrador (administrativo lío, cuál es el punto en grupos)

Este es un diseño realmente molesto, debo estar perdiendo algo. Como se supone que funciona? ¿Cuál es la forma "correcta" para que un administrador ingrese a una carpeta a la que los administradores tienen acceso?

TessellatingHeckler
fuente
1
Creo Explorer sólo se ejecuta elevados cuando se está conectado como el administrador local de esa máquina.
juan
2
Esta es una de las razones por las cuales ms actualizó sus recomendaciones de seguridad sobre el uso de uac en los servidores. support.microsoft.com/kb/2526083
tony roth
Tony, es una completa sorpresa para mí, después de tanto tiempo soportar las indicaciones de UAC "por el bien común", escuchar a Microsoft decir que no hay, y que nunca puede haber , ningún bien mayor en el lado del servidor. Cita: "" "Cuando todas las tareas del usuario administrativo requieren derechos administrativos, y cada tarea puede desencadenar un aviso de elevación, las indicaciones son solo un obstáculo para la productividad. En este contexto, tales indicaciones no promueven ni pueden promover el objetivo de fomentar el desarrollo de aplicaciones que requieren derechos de usuario estándar "" ". Brillante. ¡Aprobación de MS para apagar UAC! (en ciertas situaciones limitadas).
TessellatingHeckler
esta declaración "UAC también debe permanecer habilitado si los administradores ejecutan aplicaciones riesgosas en el servidor, como navegadores web, clientes de correo electrónico o clientes de mensajería instantánea, o si los administradores realizan otras operaciones que deberían realizarse desde un sistema operativo cliente como Windows 7." Es la clave de todo esto.
tony roth
PUEDE ejecutar Explorer con privilegios elevados, primero: open Task Manager, go to details, kill the existing explorer running as your user.(Nota: su menú de inicio y carpetas, etc. desaparecerán), luego, aún en el administrador de tareas: Click File, Start New Process, Type Explorer, and select the "Run task with administrative privileges" checkbox, and hit OKsu menú de inicio volverá a aparecer, ahora puede continuar sin necesidad de elevar cada vez que accede a una carpeta o archivo para los que tiene permisos solo a través del grupo de usuarios Administrativos.
Ben Personick

Respuestas:

4

La solución es simplemente administrar el servidor de forma remota. El filtrado UAC de los privilegios de administrador solo se aplica cuando accede al sistema local.

Con el lanzamiento de Server Core, Microsoft ha alentado fuertemente a las personas a administrar servidores de forma remota en lugar de conectarse directamente a ellos para administrarlos.

Por supuesto, si tiene una red realmente pequeña, esto puede no ser factible, por lo que deshabilitar el UAC está bien, o ajustar los permisos del sistema de archivos para que se use otro grupo en lugar de administradores para otorgar permisos.

Zoredache
fuente
Entonces, por ejemplo. \\ localhost \ c $ ¿permite a los administradores ver como administrador? Creo que he visto esto hecho antes.
juan
Pero eso no es una solución en absoluto, porque no estoy conectado como administrador en mi escritorio. (Ni siquiera he iniciado sesión en el mismo dominio, y no hay una relación de confianza entre ellos).
TessellatingHeckler
No tiene que acceder al sistema remoto utilizando las credenciales que utilizó para iniciar sesión. Conéctese al sistema remoto como administrador. net use \\server\share /user:adminuser.
Zoredache
Esta es la respuesta general correcta, pero todavía hay demasiados productos de servidor de Microsoft y OEM que requieren interacción de escritorio para administrarlos o reconfigurarlos de manera efectiva. La pregunta original es válida y se requiere una solución para el escritorio del servidor "Windows". Es extraño que los valores predeterminados de Microsoft no admitan esto sin otorgar a todos los usuarios locales acceso para leer y crear todo desde la raíz. Agregué muchos detalles en una edición sugerida a la respuesta de @PaGeY, así que espero que acepte eso porque actualmente creo que esa es la mejor alternativa cuando el administrador central no es posible.
Tony Wall
6

La mejor manera es definir un nuevo grupo que contenga miembros que considere administradores de esa carpeta. Si tiene un dominio AD, puede crear este grupo en AD y luego agregar ese grupo al grupo Administradores (de la máquina local) y evitar tener que administrar dos grupos.

Nota: Si está intentando esto localmente, recuerde que debe cerrar sesión y volver a iniciarla para que los nuevos permisos surtan efecto.

Juan
fuente
Desearía haber considerado esto antes. Es un poco molesto, pero tiene una baja carga administrativa y no es probable que rompa nada más.
TessellatingHeckler
1
Así es como resolvimos el problema. Tenemos grupos como "Departamento de facturación", "Departamento de TI", etc. Tiene mucho más sentido en el contexto de una sola carpeta que "Administradores de dominio".
Dan
2

Hay dos opciones para solucionar esta limitación fácilmente:

Martin Binder
fuente
1
La primera es una sugerencia pragmática de usted sobre cómo solucionar esto, pero no puede ser la intención de Microsoft sobre cómo lidiar con esto, eso sería ridículo. El segundo es inteligente e interesante, pero no estoy haciendo ese tipo de registro en servidores en vivo.
TessellatingHeckler
0

Otorgue permiso de lectura / ejecución en la raíz de la unidad al principal incorporado llamado "Interactivo". Entonces no se requiere ningún cambio a UAC.

Diálogo de permisos de root de unidad interactiva.

De esta forma, las personas que inician sesión en el escritorio de forma remota o "localmente" (consola VM o pantalla y teclado físicos) aún pueden explorar archivos y ejecutar programas incluso con UAC habilitado.

Por ejemplo, puede eliminar el permiso predeterminado "Los usuarios pueden leer y crear todo desde la raíz" para bloquear el servidor de manera sensata, pero evitar la imposibilidad de iniciar sesión, explorar archivos y navegar a donde desea cambiar la configuración como administrador.

Tan pronto como abra el cuadro de diálogo de seguridad y desee cambiar los permisos, aparecerá un botón para cambiar la configuración como administrador. Entonces obtienes lo mejor de ambos mundos:

  1. No hay restricciones para la exploración de administrador / operador "local" de la estructura y contenido de los discos.
  2. Protección contra cambios por no administradores.

La única diferencia con los permisos estándar es que no estamos diciendo que solo las cuentas locales de "Usuarios" pueden leer todo, sino que solo las personas tienen acceso a la consola de Windows, es decir, lógicamente significa acceso al servidor "físico" (o virtual) "interactivo" , que no solo se otorga a nadie. Esto puede no funcionar para los servidores de terminal a menos que haya una mejor manera de distinguir entre esos tipos de sesiones (sugiera editar si lo sabe).

Por supuesto, el primer consejo es utilizar el servidor central / administrador remoto siempre que sea posible. Pero cuando no, esto ayuda a evitar el efecto final común de que un servidor donde los permisos predeterminados de los usuarios se eliminan, termina con docenas de permisos de cuenta de usuario personal aplicados en todo el lugar. Y en realidad no es culpa del administrador, solo están tratando de hacer su trabajo con herramientas estándar sin ninguna complejidad especial (solo use File Explorer normalmente).

Otro efecto positivo de esta solución, es al poder bloquear los permisos de la unidad raíz y aún tener el servidor "utilizable" para el administrador que inició sesión en el escritorio, la necesidad de desactivar la herencia para eliminar los permisos no deseados de arriba a menudo desaparece. El hecho de que todos los usuarios puedan leer y crear lo que quieran debajo de su ruta compartida de forma predeterminada es una razón común para deshabilitar la herencia cuando nadie quiere lidiar con la causa "raíz" ;-)

PaGeY
fuente
Esto necesita una mejor explicación.
Sven
Sugerí una edición con todos los detalles porque esta respuesta es bastante buena cuando se necesita un escritorio. Espero que @PaGeY lo acepte.
Tony Wall
@TonyWall probablemente deberías considerar agregar tu propia respuesta.
Zoredache
0

no se puede abrir la carpeta en el Explorador porque "no tiene permiso".

Sospecho que esto se debe a que los procesos normales no tienen el token de permiso de administrador debido a UAC, a menos que también 'se ejecute como administrador'. Pero no puedo hacer eso para Windows Explorer, ¿verdad?

Sí, ¡PUEDES ejecutar Explorer con privilegios elevados para resolver tu problema!

Para hacerlo, debes:

  • abierto Task Manager
    • Ir a la Detailspestaña
    • Mata el " Explorer.exe" existente que se ejecuta como tu usuario.
      • Nota: su menú de inicio y carpetas, etc. desaparecerán, esto es normal
    • Hacer clic File
    • Seleccione " Start New Process"
      • Aparece un cuadro de diálogo "Crear nueva tarea".
    • Escribe Explorer.exeel menú desplegable "Abrir:".
    • Marque la casilla Checkboxjunto a " Run task with administrative privileges"
    • Hacer clic OK
      • Si aparece el mensaje de elevación, haga clic en accept.

Voila!

Su menú Inicio vuelve a aparecer, y el explorador de Windows está elevado.

Ahora está ejecutando Explorer como un proceso elevado, por lo que cualquier acción del explorador que requiera elevación funcionará sin necesidad de elevar cada vez.

Por lo tanto, puede Eliminar una carpeta o recorrer una carpeta o verificar permisos o leer un archivo sin necesidad de ejecutar elevado para cada acción individual.


Me encontré con esto porque usamos el modo de aprobación de administrador para elevar sin preguntar, sin embargo, para eliminar carpetas y archivos y, a veces, para acceder a ellos, esto nos causa problemas cuando el usuario es miembro del grupo del administrador local en lugar de tener permisos expresos, elevando Explorer resolvió ese problema.

Ben Personick
fuente