При работе с проводником Windows (Explorer) на сервере с правами локального администратора довольно часто приходится открывать системные каталоги, профили других пользователей или править защищенные системные файлы. При попытке открыть такой каталог / файл с помощью проводники в текущем контексте, появляется предупреждающее окно UAC о необходимости предоставить доступ и повысить привилегии.
Как это выглядит: пробуем в проводнике открыть системный каталог C:\Windows\security\audit – появляется окно User Account Control, сообщающее о том, что доступа к каталогу нет (You don’t currently have permission to access this folder). Но доступ можно получить, нажав кнопку Continue.
Все бы ничего, но после выполнения такой операции в NTFS разрешениях на папку явно прописывается ваша учетная запись. Хотя все что мы хотели – просмотреть содержимое каталога, а не менять его ACL!
Естественно, при активной работе с системными файлами это выскакивающее уведомление UAC начинает раздражать. Т.к. отключать ради этого UAC совершенно не хочется, пришлось найти собственный способ запуска процесса Проводника (Exploler.exe)
- Запустите командную строку cmd.exe с правами администратора (Run as administrator).
- Выполните команду:
tskill explorer & explorer
Указанная команда завершит текущий процесс explorer.exe для данного пользователя и запустит новый, который унаследует повышенный маркер доступа, с которыми запущен cmd.exe.
Удостоверится, что Проводник запущен в привилегированном режиме можно с помощью диспетчера задач (Task Manager). Запустите его и перейдите на вкладку Details, где щелкните ПКМ по любой колонке, выберите Select columns и включите отображения столбца Elevated. Как вы видите, у процесса explorer.exe теперь появился атрибут Elevated=Yes.
После выполнения этого трюка Проводник сможет открыть любую системную папку без предупреждений UAC, кроме того, все дочерние процессы, запущенные из проводника также будут облаять повышенными правами. К примеру, это удобно когда нужно отредактировать файл hosts (c:\windows\system32\drivers\etc), открывая его блокнотом прямо из проводника, без необходимости открывать отдельный процесс notepad.exe с правами администратора или от имени другого пользователя.
Чтобы частично автоматизировать этот трюк, можно на рабочем столе создать bat файл с этой командой, в случае необходимости повысить привилегии для Проводника, запускать его с правами администратора по ПКМ.
Может, на сервере такое и работает, но в клиентской ОС — нет. Там нужно иначе: Завещание мистера Гейтса.
На практике это редко нужно. На первой картинке же написано, что одобрение запроса дает постоянный доступ к папке.
Вадим, вы правы на клиентах Windows 8.1 / Windows 10 этот фокус не работает.
Возможно на персональной однопользовательской системе это и не нужно. Но на серверах, на мой взгляд, так удобнее. Да и NTFS разрешения на папку не утяжеляются.
Спасибо, помогло мне зайти в теневую копию. А то копия как бы есть, но при нажатии открыть — нету доступа. Хотя пользователь входит в локальные администраторы, а у группы есть все разрешения
А раздавать доступа на каждую шаровую папку себе или любому другому админу лично — не по феншую
На серверах это очень нужно! На всех директориях по умолчанию выставляется «пользователи домена» на чтение и все это inherited от корня. Скажем вы хотите дать шару, выделить конкретных пользователей в NTFS, рестриктить на уровне smb не удобно, намного надежнее и правильнее убрать группу users, оставить систему\лок админов и искомую группу кому нужен доступ, и представим себе что эта папка еще и в DFS участвует. Что тогда? несмотря на то что твоя учетка находится в лок админах, без явного повышения прав — доступ к директории ты не получишь, а если нажмешь «ок» — система пропишет тебя явно, а так как это дфс, и внутри может быть десятки тысяч файлов, служба начнет реплицировать все это между всеми нодами…. не очень это все хорошо
Все верно.
Как обходной трюк — можно управлять NTFS разрешениями на папки через UNC путь (\\server1\share1\). В этом случае при доступе к каталогу не нужно повышать полномочия, соотвественно не происходит изменение разрешений.