Windows-Ordnerberechtigungen, Administratoren und Benutzerkontensteuerung, wie geht man damit richtig um?

8

Ich habe einen Ordner mit Berechtigungen:

  • Administratoren (Gruppe): Voll.
  • J. Bloggs: Voll.

Ich bin als Mitglied der Gruppe Administratoren angemeldet.

Ich kann den Ordner im Explorer nicht öffnen, da "Sie keine Berechtigung haben".

Ich vermute, dies liegt daran, dass normale Prozesse aufgrund der Benutzerkontensteuerung nicht über das Administratorberechtigungstoken verfügen, es sei denn, Sie werden auch als Administrator ausgeführt. Aber ich kann das nicht für Windows Explorer tun, oder?

Meine Optionen scheinen also zu sein: - Klicken Sie auf die Schaltfläche, um den Besitz zu übernehmen (ruiniert den Besitz, dauert bei großen Ordnern ewig, löst sich nicht für andere Administratoren auf) - Fügen Sie jedes einzelne Administratorkonto mit vollständigen Berechtigungen hinzu, damit es ohne das Administrator-Token (administrativ) funktioniert Chaos, was ist der Sinn in Gruppen)

Dies ist ein wirklich nerviges Design, mir muss etwas fehlen. Wie soll es funktionieren? Wie kann ein Administrator in einen Ordner gelangen, auf den Administratoren Zugriff haben?

windows windows-server-2008 uac TessellatingHeckler
quelle
1
Ich denke Explorer läuft nur erhöht , wenn Sie als angemeldet sind der lokale Administrator dieser Maschine.
John
2
Dies ist einer der Gründe, warum ms ihre Sicherheitsempfehlungen zur Verwendung von uac auf Servern aktualisiert hat. support.microsoft.com/kb/2526083
Tony Roth
Tony, das ist eine völlige Überraschung für mich, nachdem ich mich so lange mit UAC-Aufforderungen "zum Wohle der Allgemeinheit" abgefunden habe, Microsoft sagen zu hören, dass es auf der Serverseite kein größeres Gut gibt und niemals geben kann . Zitat: "" "Wenn für alle Aufgaben des Administratorbenutzers Administratorrechte erforderlich sind und jede Aufgabe eine Aufforderung zur Erhöhung auslösen kann, sind die Eingabeaufforderungen nur ein Hindernis für die Produktivität. In diesem Zusammenhang fördern solche Eingabeaufforderungen nicht das Ziel, die Entwicklung von zu fördern Anwendungen, die Standardbenutzerrechte "" "erfordern. Brillant. MS-Genehmigung zum Ausschalten der Benutzerkontensteuerung! (in bestimmten, begrenzten Situationen).
TessellatingHeckler
Diese Anweisung "Die Benutzerkontensteuerung sollte auch aktiviert bleiben, wenn Administratoren riskante Anwendungen auf dem Server ausführen, z. B. Webbrowser, E-Mail-Clients oder Instant Messaging-Clients, oder Administratoren andere Vorgänge ausführen, die von einem Client-Betriebssystem wie Windows 7 ausgeführt werden sollten." ist der Schlüssel zu all dem.
Tony Roth
Sie KÖNNEN den Explorer mit erhöhten Berechtigungen ausführen. Zuerst: open Task Manager, go to details, kill the existing explorer running as your user.(Hinweis: Ihr Startmenü und Ihre Ordner usw. werden ausgeblendet.) Dann, noch im Task-Manager: Click File, Start New Process, Type Explorer, and select the "Run task with administrative privileges" checkbox, and hit OKIhr Startmenü wird wieder angezeigt. Sie können jetzt fortfahren, ohne eine Erhöhung vornehmen zu müssen Jedes Mal, wenn Sie auf einen Ordner oder eine Datei zugreifen, für die Sie nur über die Gruppe der administrativen Benutzer Berechtigungen haben.
Ben Personick

Antworten:

4

Die Lösung besteht darin, den Server einfach remote zu verwalten. Die UAC-Filterung der Administratorrechte gilt nur, wenn Sie auf das lokale System zugreifen.

Mit der Veröffentlichung von Server Core hat Microsoft die Benutzer nachdrücklich dazu ermutigt, Server remote zu verwalten, anstatt sich direkt mit ihnen zu verbinden, um sie zu verwalten.

Wenn Sie ein wirklich kleines Netzwerk haben, ist dies möglicherweise nicht möglich. Daher ist es in Ordnung, die Benutzerkontensteuerung zu deaktivieren oder die Dateisystemberechtigungen so anzupassen, dass anstelle von Administratoren eine andere Gruppe zum Erteilen von Berechtigungen verwendet wird.

Zoredache
quelle
So würde zB. \\ localhost \ c $ Administratoren als Administrator anzeigen lassen? Ich glaube, ich habe das schon einmal gesehen.
John
Dies ist jedoch überhaupt keine Lösung, da ich auf meinem Desktop nicht als Administrator angemeldet bin. (Ich bin nicht einmal in derselben Domain angemeldet und es besteht keine Vertrauensbeziehung zwischen ihnen).
TessellatingHeckler
Sie müssen nicht mit den Anmeldeinformationen, die Sie für die Anmeldung verwendet haben, auf das Remote-System zugreifen. Stellen Sie als Administrator eine Verbindung zum Remote-System her. net use \\server\share /user:adminuser.
Zoredache
Dies ist die richtige allgemeine Antwort, aber es gibt immer noch zu viele Microsoft- und OEM-Serverprodukte, für deren effektive Verwaltung oder Neukonfiguration eine Desktop-Interaktion erforderlich ist. Die ursprüngliche Frage ist gültig und eine Lösung für den Server-Desktop "Windows" ist erforderlich. Es ist seltsam, dass die Standardeinstellungen von Microsoft dies nicht unterstützen, ohne allen lokalen Benutzern Zugriff auf das Lesen und Erstellen aller Elemente aus dem Stammverzeichnis zu gewähren. Ich habe der Antwort von @PaGeY in einem Änderungsvorschlag viele Details hinzugefügt, daher hoffe ich, dass er dies akzeptiert, da ich derzeit der Meinung bin, dass dies die beste Alternative ist, wenn der Kernadministrator nicht möglich ist.
Tony Wall
6

Am besten definieren Sie eine neue Gruppe mit Mitgliedern, die Sie als Administratoren dieses Ordners betrachten. Wenn Sie über eine AD-Domäne verfügen, können Sie diese Gruppe in AD erstellen und diese Gruppe dann der Gruppe Administratoren (des lokalen Computers) hinzufügen, ohne zwei Gruppen verwalten zu müssen.

Hinweis: Wenn Sie dies lokal versuchen, müssen Sie sich abmelden und erneut anmelden, damit die neuen Berechtigungen wirksam werden.

John
quelle
Ich wünschte, ich hätte früher darüber nachgedacht. Es ist leicht ärgerlich, aber mit geringem Verwaltungsaufwand und es ist unwahrscheinlich, dass etwas anderes kaputt geht.
TessellatingHeckler
1
So haben wir das Problem gelöst. Wir haben Gruppen wie "Billing-Dept", "IT-Dept" usw. Ist im Kontext eines einzelnen Ordners viel sinnvoller als "Domain Admins".
Dan
2

Es gibt zwei Möglichkeiten, um diese Einschränkung einfach zu umgehen:

Martin Binder
quelle
1
Der erste ist ein pragmatischer Vorschlag von Ihnen, wie Sie das umgehen können , aber es kann nicht die Absicht von Microsoft sein, damit umzugehen, das wäre lächerlich. Die zweite ist klug und interessant, aber ich mache diese Art der Registrierung nicht auf Live-Servern.
TessellatingHeckler
0

Erteilen Sie dem integrierten Stammverzeichnis mit dem Namen "Interactive" die Berechtigung zum Lesen / Ausführen am Laufwerkstamm. Dann ist keine Änderung der Benutzerkontensteuerung erforderlich.

Dialogfeld "Interaktive Laufwerksstammberechtigungen".

Auf diese Weise können Personen, die remote oder "lokal" am Desktop angemeldet sind (VM-Konsole oder physischer Bildschirm und Tastatur), auch bei aktivierter Benutzerkontensteuerung weiterhin Dateien durchsuchen und Programme ausführen.

Sie können beispielsweise die Standardberechtigung "Benutzer können alles aus dem Stammverzeichnis lesen und erstellen" entfernen, um den Server sinnvoll zu sperren, aber die Unfähigkeit vermeiden, sich effektiv anzumelden, Dateien zu durchsuchen und dorthin zu navigieren, wo Sie die Einstellungen als Administrator ändern möchten.

Sobald Sie den Sicherheitsdialog öffnen und die Berechtigungen ändern möchten, wird eine Schaltfläche angezeigt, mit der Sie die Einstellungen als Administrator ändern können. So erhalten Sie das Beste aus beiden Welten:

  1. Keine Einschränkung beim "lokalen" Durchsuchen der Struktur und des Inhalts der Festplatten durch den Administrator / Bediener.
  2. Schutz vor Änderungen durch Nichtadministratoren.

Der einzige Unterschied zu den Standardberechtigungen besteht darin, dass nicht nur lokale "Benutzerkonten" alles lesen können, sondern nur Personen, denen Zugriff auf die Windows-Konsole gewährt wurde, dh logisch "physischer" (oder virtueller) "interaktiver" Serverzugriff , die nicht nur jedem gewährt wird. Dies funktioniert möglicherweise nicht für Terminalserver, es sei denn, es gibt eine bessere Möglichkeit, zwischen diesen Sitzungstypen zu unterscheiden (schlagen Sie eine Bearbeitung vor, wenn Sie das wissen).

Der erste Rat ist natürlich, wann immer möglich Server Core / Remote Admin zu verwenden. Wenn dies nicht der Fall ist, wird der allgemeine Endeffekt vermieden, dass ein Server die Standardbenutzerberechtigungen entfernt und Dutzende von Berechtigungen für persönliche Benutzerkonten überall angewendet werden. Und es ist nicht wirklich die Schuld des Administrators, er versucht nur, seine Arbeit mit Standardtools ohne besondere Komplexität zu erledigen (verwenden Sie den Datei-Explorer normalerweise normal).

Ein weiterer positiver Effekt dieser Lösung besteht darin, dass die Berechtigungen des Root-Laufwerks gesperrt werden können und der Server weiterhin für den Administrator "verwendbar" ist, der auf dem Desktop angemeldet ist. Die Notwendigkeit, die Vererbung zu deaktivieren, um unerwünschte Berechtigungen von oben zu entfernen, verschwindet häufig. Die Tatsache, dass alle Benutzer standardmäßig unter Ihrem gemeinsamen Pfad lesen und erstellen können, was sie wollen, ist ein häufiger Grund, die Vererbung zu deaktivieren, wenn sich niemand mit der "Grundursache" befassen möchte ;-)

PaGeY
quelle
Dies bedarf einer besseren Erklärung.
Sven
Ich habe eine Bearbeitung mit allen Details vorgeschlagen, da diese Antwort recht gut ist, wenn ein Desktop erforderlich ist. Ich hoffe @PaGeY akzeptiert es.
Tony Wall
@ TonyWall Sie sollten wahrscheinlich in Betracht ziehen, Ihre eigene Antwort hinzuzufügen.
Zoredache
0

Der Ordner kann im Explorer nicht geöffnet werden, da "Sie keine Berechtigung haben".

Ich vermute, dies liegt daran, dass normale Prozesse aufgrund der Benutzerkontensteuerung nicht über das Administratorberechtigungstoken verfügen, es sei denn, Sie werden auch als Administrator ausgeführt. Aber ich kann das nicht für Windows Explorer tun, oder?

Ja, Sie können Explorer mit erhöhten Berechtigungen ausführen, um Ihr Problem zu lösen!

Dazu müssen Sie:

  • öffnen Task Manager
    • Gehen Sie zur DetailsRegisterkarte
    • Beenden Sie das vorhandene " Explorer.exe", das als Ihr Benutzer ausgeführt wird.
      • Hinweis: Ihr Startmenü und Ihre Ordner usw. verschwinden. Dies ist normal
    • Klicken File
    • Wählen Sie " Start New Process"
      • Daraufhin wird ein Dialogfeld "Neue Aufgabe erstellen" angezeigt.
    • Geben Sie Explorer.exedas Dropdown-Menü "Öffnen:" ein.
    • Aktivieren Sie das Kontrollkästchen CheckboxWeiter zu " Run task with administrative privileges"
    • Klicken OK
      • Wenn die Eingabeaufforderung für die Höhe angezeigt wird, klicken Sie auf accept.

Voila!

Ihr Startmenü wird erneut angezeigt und der Windows Explorer ist erhöht!

Sie führen den Explorer jetzt als erhöhten Prozess aus, sodass alle Explorer-Aktionen, für die eine Erhöhung erforderlich war, funktionieren, ohne dass jedes Mal eine Erhöhung erforderlich ist.

So können Sie einen Ordner löschen oder einen Ordner durchlaufen oder Berechtigungen überprüfen oder eine Datei lesen, ohne für jede einzelne Aktion eine erhöhte Aktion ausführen zu müssen.

Ich bin darauf gestoßen, weil wir den Administrator-Genehmigungsmodus verwenden, um ohne Aufforderung zu erhöhen. Um jedoch Ordner und Dateien zu löschen und manchmal darauf zuzugreifen, verursacht dies Probleme, wenn der Benutzer Mitglied der lokalen Administratorgruppe ist, anstatt über Expressberechtigungen zu verfügen Der Explorer hat dieses Problem behoben.

Ben Personick
quelle