我们有一系列顶级文件夹:
E:\Data1
E:\Data2
E:\Data3
权限很简单——默认的CREATOR OWNER, SYSTEM Full Control,一些允许修改的安全组和LOCAL SERVER\Administrator group Full Control. 没有 DENY,只有 ALLOW 权限。
我有一个用户帐户,它是上述本地管理员组的成员。但是,当我访问该文件夹时,会出现 UAC 提示并说它需要添加权限才能访问该文件夹。为此用户帐户添加了一个显式条目,现在我可以访问该文件夹。
但为什么?我是一个完全控制的组的成员,为什么会提示?该文件夹设置为不从父文件夹继承权限,因此没有任何从父文件夹继承的奇怪权限。
UAC旨在通过将应用软件限制为标准用户权限来提高 Microsoft Windows 的安全性。*
这意味着,即使用户帐户在 admin 组中,explorer.exe 也只能以标准用户权限运行。作为标准用户,您无权访问这些文件夹。
但是,当您尝试访问这些文件夹时,Windows 会识别出您的用户帐户是管理员组的成员。它会询问您(通过 UAC 提示)是否要使用 sysadmin 的权力(通过管理员组成员身份)将您的用户帐户添加到 ACL。
这样,explorer.exe 永远不会获得标准用户权限,从而提高了 Microsoft Windows 的安全性。
* http://en.wikipedia.org/wiki/User_Account_Control
这是因为默认情况下启用 UAC 后,尽管您是管理员组的成员,但您在没有管理员权限的上下文中访问文件夹。另一种方法是以管理员身份运行资源管理器。
这在这里有点解释:http: //think-like-a-computer.com/2011/05/11/windows-access-denied-folder-administrator/
“当您通常以管理员身份登录时,您将拥有对所有内容的完全不受限制的访问权限。UAC 旨在通过以更严格的方式运行所有不需要管理员访问权限的任务来防止这种情况发生。启用 UAC 时,管理员可以作为两个访问令牌; 一个标准用户令牌(受限)和一个管理员令牌(无限制)。所有任务首先在受限用户令牌下运行。只有当特定程序或任务需要完全管理权限时,它才会提示您以提升模式运行它。然后它使用管理员令牌启动此任务。”
我所做的是创建一个非管理员级别的组,称为“文件服务器管理员”。然后,我授予该组对文件夹位置的完全访问权限。然后,我将需要该访问权限的适当用户添加到该组。由于该组是用户的非提升令牌的一部分,因此以这种方式授予访问权限。
Mark 在“我们如何防止文件夹上的访问被拒绝?”下的链接 在第一段中解释了它 - 只需忽略该链接上禁用 UAC 的建议:D