Windows Explorer e UAC: execução elevada

Estou profundamente irritado com o UAC e o desabilito para meu usuário administrador sempre que posso. No entanto, há situações em que não posso - especialmente se essas máquinas não estão sob minha administração contínua.

Nesse caso, sempre sou desafiado pela tarefa de percorrer diretórios usando meu usuário administrativo por meio do Windows Explorer, onde usuários comuns não têm permissões de "leitura". As duas abordagens possíveis para esse problema até agora:

1. altere as ACLs para o diretório em questão para incluir meu usuário (o Windows oferece convenientemente o Continuebotão na caixa de diálogo "No momento, você não tem permissões para acessar esta pasta" . Isso obviamente é péssimo, pois na maioria das vezes eu não quero alterar ACLs mas basta olhar para o conteúdo da pasta

2. use um prompt elevado do cmd.exe junto com vários utilitários de linha de comando - isso geralmente leva muito tempo ao navegar por estruturas de diretório grandes e / ou complexas

O que eu adoraria ver seria uma maneira de executar o Windows Explorer no modo elevado. Ainda tenho que descobrir como fazê-lo. Mas outras sugestões para solucionar esse problema de maneira discreta, sem alterar a configuração do sistema inteiro (e de preferência sem a necessidade de baixar / instalar qualquer coisa) também são bem-vindas.

Vi este post com uma sugestão para alterar o HKCR - interessante, mas altera o comportamento de todos os usuários, o que não tenho permissão para fazer na maioria das situações. Além disso, algumas pessoas sugeriram o uso de caminhos UNC para acessar as pastas - infelizmente isso não funciona ao acessar a mesma máquina (ou seja \\localhost\c$\path) que a associação ao grupo "Administradores" ainda é removida do token e de uma nova autenticação (e, portanto, a criação de um novo token) não aconteceria ao acessar o host local.

PRÉ-2012/8

(imagens e ideia original de http://kb.cadzow.com.au:15384/cadzow/details.aspx?Print=Y&ID=2343 )

1. Abra um prompt de comando administrativo.
2. Ctrl + Shift + Rt clique em Desligar no menu Iniciar.

3. Escolha Exit Explorer
4. digite explorerno prompt de comando elevado e pressione enter.

Agora o Explorer está sendo executado no contexto elevado que o prompt de comando elevado tinha.

2012/8

1. Abra um prompt de comando administrativo.
2. Inicie o gerenciador de tarefas e expanda More details
3. Clique com o botão direito do mouse Windows Explorere escolha End task
4. Digite explorero prompt de comando elevado e pressione enter.

Agora o Explorer está sendo executado no contexto elevado que o prompt de comando elevado tinha.

Observe que, ao fazer isso, você pode ter dificuldade em não executar um programa elevado. Qualquer programa em que você clicar duas vezes ou abrir via associação de arquivos também será executado elevado.

Embargo

Se o Explorer estiver definido como "Iniciar janelas da pasta em um processo separado" (Opções da pasta> Exibir), as janelas da pasta não serão elevadas, mesmo que o processo principal do explorador seja. A solução alternativa é desativar esta opção para que todas as janelas da pasta façam parte do processo elevado do explorer.

Não acho que seja uma boa ideia desativar o UAC ou executar todo o shell do Windows Explorer no modo elevado.

Em vez disso, pense em usar uma ferramenta diferente para gerenciar seu arquivo. Eu acho que o Explorer não é uma boa ferramenta para fazer um trabalho sério com muitos arquivos de qualquer maneira. Um programa com dois painéis lado a lado é muito mais adequado para isso.

Existem muitas ferramentas de substituição do Explorer por aí, algumas gratuitas e outras comerciais. Todos eles podem ser executados elevados, para que as permissões não sejam mais um problema. Você pode até querer usar dois diferentes. Um para uso normal, outro para uso administrativo elevado.

Além disso, muitos deles rodam portáteis, então você não precisa instalá-los, basta copiar alguns arquivos e executá-lo.

Não estou recomendando uma ferramenta específica. Essa é uma pergunta diferente

Isso foi frustrante para mim também, até que estudei por que o UAC interrompe minha passagem de pastas às quais tenho acesso inerente como administrador. Existe uma solução:

1. Deixe o UAC ativado
2. Nas ACLs da pasta, adicione uma ACE que conceda ao princípio de segurança "INTERATIVO" as permissões para percorrer pastas e listar o conteúdo da pasta.

Se você adicionar isso às ACLs da pasta, seus administradores poderão navegar na estrutura da pasta sem serem atingidos por um prompt do UAC.

Parece ser por design. Veja este tópico para obter mais informações:

http://social.technet.microsoft.com/Forums/windows/en-US/1798a1a7-bd2e-4e42-8e98-0bc715e7f641/

De acordo com o pôster Andre.Ziegler nesse tópico:

Como eu já lhe disse, o Windows 7 Explorer usa um método de início baseado em DCOM [sic] que impede você de executar o Windows Explorer elevado.

Uma solução é usar o gerenciador de arquivos freeware Explorer ++ . O Explorer ++ tem uma opção para mostrar o nível de privilégio atual em sua barra de título, para que você possa ver facilmente se está executando elevado.

Outra solução é usar o Nomad.NET , outro bom gerenciador de arquivos freeware baseado em .NET.

Use uma instância elevada do PowerShell ISE. A caixa de diálogo Arquivo que ele fornece é elevada, oferecendo a capacidade de percorrer diretórios.

Eu me deparei com esse problema RDPing em servidores para fazer coisas sobre eles.

Para mim, é um caso de não fazer isso. Eu posso acessar os arquivos do explorer no meu sistema doméstico e isso me dá acesso total.

\\ remote.com \ c $ Leva-me ao que eu quero como administrador, sem restrições.

O problema restante é que você está transferindo arquivos entre sistemas enquanto trabalha neles, mas para arquivos pequenos. Eu não ligo

-Larry

Várias pessoas contribuíram para que esse comportamento seja um dos pontos do UAC: fazer você parar e pensar no que está prestes a fazer. Uma resposta a essa visão, já declarada, é que ser perguntado uma vez é bom, mas não é perguntado a todos. solteiro. Tempo. durante o que pode ser um procedimento um tanto demorado. É um pouco análogo a não querer usar a chave da sua casa toda vez que você foi de um cômodo para outro dentro da casa.

Mas quero salientar uma diferença semântica entre a situação do OP e a situação usual do prompt do UAC: A mensagem do explorer com o prompt "Você não tem permissões para acessar esta pasta no momento" não é conceitualmente o mesmo que o prompt do UAC padrão.

Ao aceitar uma solicitação regular do UAC, você está permitindo que o programa seja executado elevado (ou seja, com as credenciais do grupo Administradores); essa concessão termina quando o programa termina. Os únicos efeitos duradouros são o que o programa pode ter feito enquanto elevado.

Ao aceitar o prompt do explorer produzido ao tentar explorar uma pasta que você não tem permissão para visualizar, você não está executando nada elevado. Em vez disso, você está alterando as permissões do sistema de arquivos (ACLs) para conceder ao seu próprio usuário controle total de acesso à pasta. A permissão concedida não é apenas muito mais ampla do que as permissões de pasta de leitura / deslocamento exigidas pela exploração, essa permissão é essencialmente permanente (até que alguém a remova explicitamente), e não apenas durante a visita do explorador à pasta.

Se o prompt realmente significasse executar o explorador usando as credenciais do grupo Administradores, isso seria um assunto diferente e muito mais análogo ao prompt regular do UAC (isso parece ser o que acontece se você for solicitado a usar os poderes do Administrador para exibir / editar permissões em o formulário Configurações avançadas de segurança). Obviamente, isso só funcionaria se os Administradores tivessem realmente o acesso necessário, pois o grupo Administradores não possui carta branca para ignorar as permissões do sistema de arquivos. Não encontrei uma boa explicação para isso, mas, no final das contas, todo o grupo Administradores parece ter o padrão "permitir controle total", e o acesso ao arquivo não é garantido porque pode ser negado usando permissões explícitas "Negar".

Além disso, ao testar as permissões de acesso para este artigo, observei que a alteração da propriedade de um objeto às vezes altera as entradas da ACL para o principal interno do OWNER (que está sob vários nomes, dependendo da versão do Windows), portanto que eles se apliquem a "Nothing" e não a uma das opções usuais (por exemplo, "esta pasta"). Isso ocorreu pelo menos duas vezes nas ACLs que negam acesso ao proprietário.

Outra observação é que é muito difícil determinar qual é o comportamento simples do sistema de arquivos e quais são os adornos adicionados da interface do usuário que estão sendo usados ​​para modificar as permissões (nesse caso, o formulário Configurações avançadas de segurança do Windows Explorer) . Por exemplo, a certa altura, a ferramenta de linha de comando TAKEOWN permitiria (corretamente) que um usuário sem privilégios que obtivesse acesso "Adquirir propriedade" se apropriasse de uma pasta, na qual as Configurações avançadas de segurança insistiam em que a credencial de Administrador fosse inserida antes de executar isto.