Windows Explorer dan UAC: jalankan ditinggikan

Saya sangat terganggu oleh UAC dan mematikannya untuk pengguna admin saya di mana pun saya bisa. Namun, ada situasi di mana saya tidak bisa - terutama jika itu adalah mesin yang tidak berada di bawah administrasi berkelanjutan saya.

Dalam hal ini, saya selalu ditantang dengan tugas melintasi direktori menggunakan pengguna administratif saya melalui Windows Explorer di mana pengguna biasa tidak memiliki izin "membaca". Kemungkinan dua pendekatan untuk masalah ini sejauh ini:

1. ubah ACL ke direktori yang dimaksud untuk memasukkan pengguna saya (Windows dengan mudah menawarkan Continuetombol di dialog "Anda saat ini tidak memiliki izin untuk mengakses folder ini" . Ini jelas menyebalkan karena lebih sering daripada tidak saya tidak ingin mengubah ACL tetapi hanya melihat isi folder

2. menggunakan prompt cmd.exe tinggi bersama dengan sekelompok utilitas baris perintah - ini biasanya membutuhkan banyak waktu saat menelusuri melalui struktur direktori besar dan / atau kompleks

Apa yang ingin saya lihat adalah cara untuk menjalankan Windows Explorer dalam mode tinggi. Saya belum mencari tahu bagaimana melakukannya. Tetapi saran lain yang menyelesaikan masalah ini dengan cara yang tidak mengganggu tanpa mengubah konfigurasi seluruh sistem (dan lebih disukai tanpa perlu mengunduh / menginstal apa pun) juga sangat disambut.

Saya telah melihat posting ini dengan saran untuk mengubah HKCR - menarik, tetapi mengubah perilaku untuk semua pengguna, yang saya tidak boleh lakukan dalam kebanyakan situasi. Juga, beberapa orang menyarankan menggunakan jalur UNC untuk mengakses folder - sayangnya ini tidak berfungsi ketika mengakses mesin yang sama (yaitu \\localhost\c$\path) karena keanggotaan grup "Administrator" masih dilucuti dari token dan otentikasi ulang (dan dengan demikian pembuatannya dari token baru) tidak akan terjadi ketika mengakses localhost.

PRE-2012/8

(gambar dan ide asli dari http://kb.cadzow.com.au:15384/cadzow/details.aspx?Print=Y&ID=2343 )

1. Buka prompt perintah administratif.
2. Ctrl + Shift + Rt-klik Shutdown di menu mulai.

3. Pilih Exit Explorer
4. ketik explorerprompt perintah yang ditinggikan dan tekan enter.

Explorer sekarang berjalan dalam konteks yang ditinggikan yang dimiliki oleh command prompt yang ditinggikan.

2012/8

1. Buka prompt perintah administratif.
2. Mulai task manager dan perluas More details
3. Klik kanan Windows Explorerdan pilih End task
4. Ketik explorerke prompt perintah yang ditinggikan dan tekan enter.

Explorer sekarang berjalan dalam konteks yang ditinggikan yang dimiliki oleh command prompt yang ditinggikan.

Perhatikan, setelah Anda melakukan ini, Anda mungkin mengalami kesulitan untuk tidak menjalankan program yang ditinggikan. Program apa pun yang Anda klik dua kali atau buka melalui asosiasi file juga akan berjalan tinggi.

Peringatan

Jika Explorer diatur ke "Buka folder folder dalam proses yang terpisah" (Folder Options> View), folder folder tidak akan ditinggikan walaupun proses explorer utama adalah. Solusinya adalah untuk menonaktifkan opsi ini sehingga semua jendela folder adalah bagian dari proses explorer yang ditingkatkan.

Saya tidak berpikir itu ide yang baik untuk mematikan UAC atau menjalankan seluruh shell Windows Explorer dalam mode tinggi.

Alih-alih berpikir tentang menggunakan alat yang berbeda untuk melakukan manajemen file Anda. Saya pikir Explorer bukanlah alat yang baik untuk melakukan pekerjaan serius dengan banyak file. Sebuah program dengan dua panel berdampingan jauh lebih cocok untuk ini.

Ada banyak alat pengganti Explorer di luar sana, beberapa gratis, beberapa komersial. Semuanya dapat dijalankan dengan tinggi sehingga izin tidak lagi menjadi masalah. Anda bahkan mungkin ingin menggunakan dua yang berbeda. Satu untuk penggunaan normal, satu untuk penggunaan administratif tinggi.

Juga banyak dari mereka yang menjalankan portable, jadi Anda tidak perlu menginstalnya, cukup salin beberapa file dan jalankan.

Saya tidak membuat rekomendasi untuk alat tertentu, itu pertanyaan yang berbeda

Ini juga membuat saya frustasi sampai saya mempelajari mengapa UAC mengganggu folder traversal yang saya akses secara inheren sebagai administrator. Ada solusinya:

1. Biarkan UAC aktif
2. Di ACL folder Anda, tambahkan ACE yang memberikan prinsip keamanan "INTERAKTIF" izin untuk melintasi folder dan daftar isi folder.

Jika Anda menambahkannya ke folder ACL, admin Anda akan dapat menelusuri struktur folder tanpa terkena perintah UAC.

Ini tampaknya dirancang. Lihat utas ini untuk informasi lebih lanjut:

http://social.technet.microsoft.com/Forums/windows/en-US/1798a1a7-bd2e-4e42-8e98-0bc715e7f641/

Menurut poster Andre.Ziegler di utas itu:

Seperti yang sudah saya katakan, Windows 7 Explorer menggunakan metode awal berbasis DCOM [sic] yang mencegah Anda menjalankan windows explorer.

Salah satu solusinya adalah menggunakan pengelola file freeware ++ ++ . Explorer ++ memiliki opsi untuk menampilkan tingkat hak istimewa saat ini di bilah judulnya, sehingga Anda dapat dengan mudah melihat apakah itu berjalan tinggi.

Solusi lain adalah dengan menggunakan Nomad.NET , manajer file freeware lain yang bagus berdasarkan .NET.

Gunakan instance PowerShell ISE yang lebih tinggi. Dialog File yang disediakannya sendiri meningkat, memberi Anda kemampuan untuk menjelajahi direktori.

Saya mengalami masalah ini RDPing ke server untuk melakukan hal-hal pada mereka.

Bagi saya ini adalah kasus jangan lakukan itu. Saya dapat mengakses file dari explorer di sistem rumah saya dan itu memberi saya akses penuh.

\\ remote.com \ c $ Memberi saya hal-hal yang saya inginkan sebagai administrator tanpa batasan.

Masalah yang tersisa adalah bahwa Anda mentransfer file antar sistem saat mengerjakannya, tetapi untuk file kecil. Saya tidak peduli.

-Larry

Beberapa orang telah berkontribusi bahwa perilaku ini adalah salah satu poin dari UAC: untuk membuat Anda berhenti dan berpikir tentang apa yang akan Anda lakukan. Satu tanggapan terhadap pandangan ini, sudah dinyatakan, adalah bahwa diminta sekali tidak apa-apa, tetapi tidak diminta setiap. tunggal. waktu. selama apa yang mungkin merupakan prosedur yang agak berlarut-larut. Agak analog dengan tidak ingin harus menggunakan kunci rumah Anda setiap kali Anda berpindah dari satu ruangan ke ruangan lain di dalam rumah.

Tapi saya ingin menunjukkan perbedaan semantik antara situasi OP dan situasi prompt UAC yang biasa: Pesan penjelajah dengan prompt "Saat ini Anda tidak memiliki izin untuk mengakses folder ini" secara konseptual tidak sama dengan prompt UAC standar.

Ketika Anda OK permintaan UAC biasa, Anda mengizinkan program untuk menjalankan ditinggikan (yaitu, dengan kredensial grup Administrators); pemberian ini berakhir ketika program berakhir. Satu-satunya efek yang bertahan lama adalah apa pun yang mungkin telah dilakukan oleh program ketika meningkat.

Ketika Anda OK prompt explorer dihasilkan ketika Anda mencoba menjelajahi ke folder yang Anda tidak memiliki izin untuk melihat, Anda tidak menjalankan apa pun yang ditinggikan. Alih-alih, Anda mengubah izin sistem file (ACL) untuk memberikan akses Kontrol Penuh pengguna Anda ke folder. Tidak hanya izin yang diberikan jauh lebih luas daripada izin baca / lintasan folder yang memerlukan penjelajahan, izin ini pada dasarnya bersifat permanen (sampai seseorang secara eksplisit menghapusnya), bukan hanya selama durasi kunjungan penjelajah ke folder tersebut.

Jika prompt sebenarnya berarti menjalankan explorer menggunakan kredensial grup Administrators, itu akan menjadi masalah yang berbeda dan jauh lebih analog dengan prompt UAC biasa (ini tampaknya adalah apa yang terjadi jika Anda diminta untuk menggunakan kekuatan Administrator untuk melihat / mengedit izin di formulir Pengaturan Keamanan Lanjut). Ini tentu saja hanya akan berfungsi jika Administrator benar-benar memiliki akses yang diperlukan karena grup Administrator tidak memiliki carte blanche untuk memotong izin sistem file. Saya belum menemukan penjelasan yang baik tentang hal ini, tetapi pada akhirnya semua yang tampaknya didapat oleh grup Administrator adalah "mengizinkan kontrol penuh" default, dan akses file tidak dijamin karena dapat ditolak menggunakan izin "Tolak" eksplisit.

Sebagai tambahan, saat menguji izin akses untuk artikel ini, saya mengamati bahwa mengubah kepemilikan suatu objek, kadang-kadang, akan mengubah entri ACL untuk prinsip bawaan PEMILIK (yang menggunakan berbagai nama tergantung pada versi Windows) jadi bahwa mereka berlaku untuk "Tidak Ada" dan bukan salah satu pilihan yang biasa (mis. "folder ini"). Ini terjadi setidaknya dua kali pada ACL yang menolak akses ke Pemilik.

Satu pengamatan lain adalah bahwa sangat sulit untuk menentukan perilaku apa yang merupakan perilaku telanjang dari sistem file, dan apa yang ditambahkan hiasan dari UI yang digunakan untuk memodifikasi izin (dalam hal ini bentuk Pengaturan Keamanan Lanjut dari Windows Explorer) . Misalnya pada satu titik, alat baris perintah TAKEOWN akan (dengan benar) memungkinkan pengguna yang tidak berhak yang kebetulan diberi akses "Ambil Kepemilikan" untuk mengambil kepemilikan folder, yang oleh Pengaturan Keamanan Lanjutan bersikeras bahwa kredensial administrator harus dimasukkan sebelum melakukan ini.