Explorador de Windows y UAC: ejecutar elevado

11

UAC me molesta profundamente y lo apago para mi usuario administrador siempre que puedo. Sin embargo, hay situaciones en las que no puedo, especialmente si se trata de máquinas que no están bajo mi administración continua.

En este caso, siempre tengo el desafío de atravesar directorios utilizando mi usuario administrativo a través del Explorador de Windows, donde los usuarios normales no tienen permisos de "lectura". Los dos enfoques posibles para este problema hasta ahora:

  1. cambiar las ACL al directorio en cuestión para incluir a mi usuario (Windows convenientemente ofrece el Continuebotón en el cuadro de diálogo "Actualmente no tiene permisos para acceder a esta carpeta" . Esto obviamente apesta, ya que la mayoría de las veces no quiero cambiar las ACL pero solo mira el contenido de la carpeta

  2. use un indicador elevado de cmd.exe junto con un montón de utilidades de línea de comando; esto generalmente toma mucho tiempo al navegar a través de estructuras de directorios grandes y / o complejas

Lo que me encantaría ver sería una forma de ejecutar Windows Explorer en modo elevado. Todavía tengo que descubrir cómo hacerlo. Pero también son bienvenidas otras sugerencias para resolver este problema de una manera discreta sin cambiar la configuración de todo el sistema (y preferiblemente sin la necesidad de descargar / instalar nada).

He visto esta publicación con una sugerencia para alterar HKCR, interesante, pero cambia el comportamiento de todos los usuarios, lo que no se me permite hacer en la mayoría de las situaciones. Además, algunas personas han sugerido usar rutas UNC para acceder a las carpetas; desafortunadamente, esto no funciona cuando se accede a la misma máquina (es decir \\localhost\c$\path), ya que la membresía del grupo "Administradores" todavía se elimina del token y una nueva autenticación (y, por lo tanto, la creación de un nuevo token) no sucedería al acceder a localhost.

el wabbit
fuente
1
De acuerdo con la frustración. Sé de una manera anterior a 2012/8
TheCleaner
1
@TheCleaner ese método todavía funciona en 2012, solo necesita usar el administrador de tareas para cerrar Explorer.
Scott Chamberlain
@TheCleaner buen hallazgo. Lástima que Scott lo haya robado y se esté dando el crédito por ello :)
the-wabbit
@ syneticon-dj - no te preocupes aquí, incluso voté por su respuesta. Estoy seguro en mi SFhood. :)
TheCleaner
2
Quizás me falta algo, pero ¿por qué alguien querría deshabilitar UAC? MS finalmente ha agregado un nivel de protección al sistema que lo hace tan seguro como otros sistemas operativos, lo cual es bastante discreto. Tal vez solo uso Windows de manera diferente, pero es raro obtener un aviso de UAC si no estoy instalando nada, y si lo hago, es un solo clic. A cambio, tengo la seguridad de que el malware no puede hacer nada grave a menos que apruebe un aviso de UAC que no esperaba. ¿Crees que el malware nunca te atacará? No te importa ¿O me estoy perdiendo algo obvio?
Básico

Respuestas:

11

PRE-2012/8

(imágenes e idea original de http://kb.cadzow.com.au:15384/cadzow/details.aspx?Print=Y&ID=2343 )

1. Abra un símbolo del sistema administrativo.
2. Ctrl + Shift + Rt-clic en Apagar en el menú de inicio.

ingrese la descripción de la imagen aquí

3. Elija Exit Explorer
4. escriba explorerel símbolo del sistema elevado y presione Intro.

Explorer ahora se ejecuta en el contexto elevado que tenía el símbolo del sistema elevado.


2012/8

1. Abra un símbolo del sistema administrativo.
2. Inicie el administrador de tareas y expanda More details
3. Haga clic Windows Explorery seleccione End task
4. Escriba en explorerel símbolo del sistema elevado y presione Intro.

Explorer ahora se ejecuta en el contexto elevado que tenía el símbolo del sistema elevado.


Tome nota, una vez que haga esto, puede tener dificultades para no ejecutar un programa elevado. Cualquier programa que haga doble clic o abra mediante la asociación de archivos también se ejecutará de manera elevada.


Consideración

Si el Explorador está configurado para "Iniciar ventanas de carpetas en un proceso separado" (Opciones de carpeta> Ver), las ventanas de carpetas no se elevarán aunque el proceso principal del explorador sí lo esté. La solución consiste en deshabilitar esta opción para que todas las ventanas de carpeta formen parte del proceso de explorador elevado.

Scott Chamberlain
fuente
1
El último método de hecho funciona en 2008 en adelante, bueno. Ciertamente me acelerará cuando trabaje en máquinas extranjeras.
the-wabbit
1
yo. AMOR. esta. ¿Alguna forma de hacer que esto suceda desde el arranque?
Se
Lamentablemente, parece que estas opciones ya no funcionan en Server 2016. ¿Alguien encontró un nuevo método?
Ryan Bolger
7

No creo que sea una buena idea apagar UAC o ejecutar todo el shell de Windows Explorer en modo elevado.

En su lugar, piense en usar una herramienta diferente para administrar sus archivos. Creo que Explorer no es una buena herramienta para hacer un trabajo serio con muchos archivos de todos modos. Un programa con dos paneles uno al lado del otro es mucho más adecuado para esto.

Existen muchas herramientas de reemplazo de Explorer, algunas gratuitas y otras comerciales. Todos ellos pueden ejecutarse de forma elevada para que los permisos ya no sean un problema. Es posible que incluso desee usar dos diferentes. Uno para uso normal, otro para uso administrativo elevado.

Además, muchos de ellos se ejecutan de forma portátil, por lo que no necesita instalarlos, simplemente copie algunos archivos y ejecútelos.

No estoy haciendo una recomendación para una herramienta en particular, esa es una pregunta diferente

Peter Hahndorf
fuente
para mí, apagar UAC o correr continuamente en un shell elevado sería exactamente lo que necesito tener. La mayoría de las consolas de administración también se rompen sin elevación: tenerlas cubiertas es un buen truco. Sé acerca de los diversos comandantes, pero realmente me gusta el carácter "original" de la respuesta de Scott, ya que no necesitaría tener nada más que mis manos en el teclado para que funcione.
the-wabbit
2

Esto también fue frustrante para mí hasta que estudié por qué UAC interrumpe mi recorrido de carpetas a las que tengo acceso inherente como administrador. Hay una solucion:

  1. Deje UAC encendido
  2. En las ACL de su carpeta, agregue un ACE que otorgue al principio de seguridad "INTERACTIVO" los permisos para recorrer carpetas y enumerar el contenido de las carpetas.

Si agrega eso a las ACL de la carpeta, sus administradores podrán examinar la estructura de la carpeta sin recibir un aviso de UAC.

RobustoErde
fuente
2

Esto parece ser por diseño. Ver este tema para más información:

http://social.technet.microsoft.com/Forums/windows/en-US/1798a1a7-bd2e-4e42-8e98-0bc715e7f641/

Según el cartel Andre.Ziegler en ese hilo:

Como ya le dije, Windows 7 Explorer utiliza un método de inicio basado en DCOM [sic] que le impide ejecutar el explorador de Windows elevado.

Una solución es usar el administrador de archivos freeware Explorer ++ . Explorer ++ tiene una opción para mostrar el nivel de privilegio actual en su barra de título, para que pueda ver fácilmente si se ejecuta elevado.

Otra solución es usar Nomad.NET , otro buen administrador de archivos gratuito basado en .NET.

Bill_Stewart
fuente
1

Use una instancia elevada de PowerShell ISE. El cuadro de diálogo Archivo que proporciona es elevado, lo que le brinda la capacidad de recorrer directorios.

Draghon
fuente
1

Me encontré con este problema RDPing en servidores para hacer cosas en ellos.

Para mí es un caso de no hacer eso. Puedo acceder a los archivos del explorador en mi sistema doméstico y me da acceso completo.

\\ remote.com \ c $ Me lleva a las cosas que quiero como administrador sin restricciones.

El problema restante es que está transfiriendo archivos entre sistemas mientras trabaja en ellos, pero para archivos pequeños. No me importa

-Larry

Larry
fuente
0

Varias personas han contribuido que este comportamiento es uno de los puntos de la UAC: hacer que te detengas y pienses en lo que estás a punto de hacer. Una respuesta a este punto de vista, ya mencionado, es que se le pregunta una vez que está bien, pero no se le pregunta a todos. soltero. hora. durante lo que podría ser un procedimiento un tanto prolongado. Es algo análogo a no querer tener que usar la llave de su casa cada vez que fue de una habitación a otra dentro de la casa.

Pero quiero señalar una diferencia semántica entre la situación de OP y la situación habitual de solicitud de UAC: el mensaje del explorador con la solicitud "Actualmente no tiene permisos para acceder a esta carpeta" no es conceptualmente igual que la solicitud de UAC estándar.

Cuando acepta una solicitud de UAC normal, está permitiendo que el programa se ejecute de forma elevada (es decir, con las credenciales del grupo Administradores); esta concesión finaliza cuando finaliza el programa. Los únicos efectos duraderos son lo que haya hecho el programa mientras estaba elevado.

Cuando acepta el indicador del explorador producido cuando intenta explorar en una carpeta que no tiene permiso para ver, no está ejecutando nada elevado. En cambio, está alterando los permisos del sistema de archivos (ACL) para otorgarle a su propio usuario el Control total de acceso a la carpeta. El permiso otorgado no solo es mucho más amplio que los permisos de carpeta de lectura / recorrido que requiere la exploración, sino que este permiso es esencialmente permanente (hasta que alguien lo elimine explícitamente), en lugar de solo por la duración de la visita del explorador a la carpeta.

Si la solicitud realmente significaba ejecutar el explorador usando las credenciales del grupo de Administradores, eso sería un asunto diferente y mucho más análogo a la solicitud regular de UAC (esto parece ser lo que sucede si se le solicita que use poderes de Administrador para ver / editar permisos en el formulario de Configuración de seguridad avanzada). Esto, por supuesto, solo funcionaría si los Administradores realmente tuvieran el acceso requerido ya que el grupo Administradores no tiene carta blanca para omitir los permisos del sistema de archivos. No he encontrado una buena explicación de esto, pero en última instancia todo el grupo de Administradores parece obtener un "control total" predeterminado, y el acceso a los archivos no está asegurado porque se puede denegar usando permisos explícitos de "Denegar".

Como comentario aparte, al probar los permisos de acceso para este artículo, observé que cambiar la propiedad de un objeto, a veces, alterará las entradas de ACL para el principal incorporado del PROPIETARIO (que tiene varios nombres según la versión de Windows). que se aplican a "Nada" más bien una de las opciones habituales (por ejemplo, "esta carpeta"). Esto ocurrió al menos dos veces en las ACL que deniegan el acceso al propietario.

Otra observación es que es muy difícil determinar qué comportamiento es el comportamiento desnudo del sistema de archivos y qué adornos se agregan desde la interfaz de usuario que se utiliza para modificar los permisos (en este caso, el formulario de Configuración de seguridad avanzada del Explorador de Windows) . Por ejemplo, en un momento, la herramienta de línea de comandos TAKEOWN (correctamente) permitiría a un usuario no privilegiado a quien se le otorgó acceso "Tomar posesión" para tomar posesión de una carpeta, que la Configuración de seguridad avanzada insistió en que se ingresara la credencial de los Administradores antes de hacerlo esta.

Kevin Martin
fuente