我有一个具有权限的文件夹:
- 管理员(组):已满。
- J. Bloggs:满。
我以管理员组的成员身份登录。
我无法在资源管理器中打开该文件夹,因为“您没有权限”。
我怀疑这是因为正常进程由于 UAC 而没有管理员权限令牌,除非您也“以管理员身份运行”。但我不能对 Windows 资源管理器执行此操作,可以吗?
所以我的选择似乎是: - 单击按钮获取所有权(破坏所有权,在大型文件夹上花费时间,不能解决其他管理员问题) - 添加具有完全权限的每个单独的管理员帐户,这样它就可以在没有管理员令牌的情况下工作(管理乱七八糟,分组有什么意义)
这是一个非常烦人的设计,我一定错过了一些东西。它应该如何工作?管理员进入管理员有权访问的文件夹的“正确”方式是什么?
最好的方法是定义一个包含您认为是该文件夹管理员的成员的新组。如果您有 AD 域,您可以在 AD 中创建此组,然后将该组添加到(本地计算机的)管理员组,避免必须管理两个组。
注意:如果您在本地尝试此操作,请记住您必须注销并重新登录才能使新权限生效。
解决方案是简单地远程管理服务器。管理员权限的 UAC 过滤仅在您访问本地系统时适用。
随着 Server Core 的发布,微软一直强烈鼓励人们远程管理服务器,而不是直接连接到服务器来管理它们。
当然,如果您的网络非常小,这可能不可行,因此禁用 UAC 就可以了,或者调整文件系统权限,以便使用另一个组而不是管理员来授予权限。
有两个选项可以轻松解决此限制:
在驱动器根目录授予名为“交互式”的内置主体的读取/执行权限。然后不需要更改 UAC。
这样,即使启用了 UAC,人们远程或“本地”(VM 控制台或物理屏幕和键盘)登录到桌面仍然可以浏览文件和运行程序。
例如,您可以删除默认的“用户可以从根目录读取和创建所有内容”权限以明智地锁定服务器,但避免无法有效登录、浏览文件和导航到您想要以管理员身份更改设置的位置。
一旦您打开安全对话框并想要更改权限,就会出现一个按钮以管理员身份更改设置。所以你得到两全其美:
与标准权限的唯一区别是,我们并不是说只有本地“用户”帐户可以读取所有内容,而是只有授予访问 Windows 控制台的权限的人,即逻辑上意味着“物理”(或虚拟)“交互式”服务器访问,这不只是授予任何人。这可能不适用于终端服务器,除非有更好的方法来区分这些类型的会话(如果您知道,建议进行编辑)。
当然,第一个建议是尽可能使用服务器核心/远程管理。但是,如果不是这样,这有助于避免常见的最终影响,即服务器是默认用户权限被删除,最终在整个地方应用了数十个个人用户帐户权限。这并不是管理员的错,他们只是试图使用标准工具完成他们的工作,没有任何特殊的复杂性(只需正常使用文件资源管理器)。
此解决方案的另一个积极效果是,通过能够锁定根驱动器权限并且仍然让服务器“可用”管理员登录到桌面,禁用继承以从上面删除不需要的权限的需要经常消失。默认情况下,所有用户都可以在共享路径下读取和创建他们想要的任何内容这一事实是当没有人想要处理“根本”原因时禁用继承的常见原因;-)
是的,您可以使用提升的权限运行 Explorer 来解决您的问题!
为此,您必须:
Task ManagerDetails选项卡Explorer.exe杀死以您的用户身份运行 的现有“ ”。FileStart New Process”Explorer.exe“打开:”下拉菜单。Checkbox旁边的Run task with administrative privilegesOKaccept。瞧!
您的“开始”菜单重新出现,Windows 资源管理器已升级!
您现在将 Explorer 作为提升的进程运行,因此任何需要提升的浏览器操作都可以正常工作,而无需每次都提升。
因此,您可以删除文件夹或遍历文件夹或检查权限或读取文件,而无需为每个单独的操作运行提升权限。
我遇到了这个问题,因为我们使用管理员批准模式来提升而不提示,但是对于删除文件夹和文件,有时是为了访问它们,当用户是本地管理员组的成员而不是具有明确权限时,这会给我们带来麻烦,提升Explorer 解决了这个问题。