Windows Explorer und UAC: Erhöht ausführen

11

Ich bin zutiefst verärgert über die Benutzerkontensteuerung und schalte sie für meinen Administrator aus, wo immer ich kann. Es gibt jedoch Situationen, in denen ich nicht kann - insbesondere wenn es sich um Maschinen handelt, die nicht unter meiner ständigen Verwaltung stehen.

In diesem Fall bin ich immer mit der Aufgabe konfrontiert, Verzeichnisse mit meinem Administrator über den Windows Explorer zu durchsuchen, wenn reguläre Benutzer keine Leseberechtigung haben. Die zwei möglichen Ansätze für dieses Problem bisher:

  1. ändern Sie die ACLs in das Verzeichnis , in Frage mein Benutzer enthalten (Windows bequem bietet die ContinueSchaltfläche in der „Sie haben derzeit Berechtigungen auf diesen Ordner zugreifen“ Dialog. Das nervt natürlich seit mehr als oft nicht ich nicht ändern wollen ACLs aber schauen Sie einfach in den Inhalt des Ordners

  2. Verwenden Sie eine Eingabeaufforderung mit erhöhten cmd.exe-Werten zusammen mit einer Reihe von Befehlszeilenprogrammen. Dies nimmt normalerweise viel Zeit in Anspruch, wenn Sie große und / oder komplexe Verzeichnisstrukturen durchsuchen

Was ich gerne sehen würde, wäre eine Möglichkeit, Windows Explorer im erhöhten Modus auszuführen. Ich muss noch herausfinden, wie das geht. Aber auch andere Vorschläge, die dieses Problem auf unauffällige Weise lösen, ohne die Konfiguration des gesamten Systems zu ändern (und vorzugsweise ohne dass etwas heruntergeladen / installiert werden muss), sind ebenfalls sehr willkommen.

Ich habe diesen Beitrag mit einem Vorschlag zur Änderung von HKCR gesehen - interessant, aber er ändert das Verhalten für alle Benutzer, was ich in den meisten Situationen nicht tun darf. Einige Leute haben auch vorgeschlagen, UNC-Pfade für den Zugriff auf die Ordner zu verwenden. Leider funktioniert dies nicht, wenn auf denselben Computer zugegriffen wird (dh \\localhost\c$\path), wenn die Gruppenmitgliedschaft "Administratoren" weiterhin vom Token entfernt und eine erneute Authentifizierung (und damit die Erstellung) durchgeführt wird eines neuen Tokens) würde beim Zugriff auf localhost nicht passieren.

the-wabbit
quelle
1
Stimmen Sie der Frustration zu. Ich kenne einen Weg vor 2012/8
TheCleaner
1
@TheCleaner Diese Methode funktioniert auch 2012 noch. Sie müssen nur den Task-Manager verwenden, um den Explorer zu schließen.
Scott Chamberlain
@ TheCleaner schöner Fund. Schade, dass Scott es gestohlen hat und es
gutschreibt
@ syneticon-dj - keine Sorge hier, ich habe sogar seine Antwort positiv bewertet. Ich bin sicher in meiner SFhood. :)
TheCleaner
2
Vielleicht fehlt mir etwas, aber warum sollte jemand die Benutzerkontensteuerung deaktivieren wollen? MS hat dem System endlich ein Schutzniveau hinzugefügt, das es so sicher wie andere Betriebssysteme macht, was ziemlich unauffällig ist. Vielleicht verwende ich Windows nur anders, aber es kommt selten vor, dass eine UAC-Eingabeaufforderung angezeigt wird, wenn ich nichts installiere, und wenn ich dies tue, ist es ein einziger Klick. Im Gegenzug bekomme ich die Zusicherung, dass Malware nichts Ernstes tun kann, wenn ich nicht eine UAC-Eingabeaufforderung genehmige, die ich nicht erwartet hatte. Denken Sie, dass Malware Sie niemals angreifen wird? Interessiert es dich nicht? Oder fehlt mir etwas Offensichtliches?
Basic

Antworten:

11

PRE-2012/8

(Bilder und Originalidee von http://kb.cadzow.com.au:15384/cadzow/details.aspx?Print=Y&ID=2343 )

1. Öffnen Sie eine administrative Eingabeaufforderung.
2. Klicken Sie im Startmenü mit Strg + Umschalt + RT auf Herunterfahren.

Geben Sie hier die Bildbeschreibung ein

3. Wählen Sie Exit Explorer
4. Geben Sie explorerdie Eingabeaufforderung mit erhöhten Rechten ein und drücken Sie die Eingabetaste.

Der Explorer wird jetzt in dem erhöhten Kontext ausgeführt, den die Eingabeaufforderung mit erhöhten Rechten hatte.


2012/8

1. Öffnen Sie eine administrative Eingabeaufforderung.
2. Starten Sie den Task-Manager und erweitern Sie ihn. More details
3. Klicken Sie mit der rechten Maustaste Windows Explorerund wählen Sie End task
4. Geben Sie in explorerdie Eingabeaufforderung mit erhöhten Rechten ein und drücken Sie die Eingabetaste.

Der Explorer wird jetzt in dem erhöhten Kontext ausgeführt, den die Eingabeaufforderung mit erhöhten Rechten hatte.


Beachten Sie , wenn Sie dies tun , können Sie eine harte Zeit haben , nicht ein Programm ausgeführt wird erhöht. Jedes Programm, das Sie doppelklicken oder über die Dateizuordnung öffnen, wird ebenfalls erhöht ausgeführt.


Vorbehalt

Wenn der Explorer auf "Ordnerfenster in einem separaten Prozess starten" (Ordneroptionen> Ansicht) eingestellt ist, werden die Ordnerfenster nicht erhöht, obwohl dies der Hauptprozess des Explorers ist. Um dieses Problem zu umgehen, deaktivieren Sie diese Option, damit alle Ordnerfenster Teil des Explorer-Prozesses mit erhöhten Rechten sind.

Scott Chamberlain
quelle
1
Die letztere Methode funktioniert in der Tat ab 2008 - schön. Wird mich sicherlich bei der Arbeit an fremden Maschinen beschleunigen.
The-Wabbit
1
ich. LIEBE. Dies. Gibt es eine Möglichkeit, dies vom Boot aus zu erreichen?
Wird
Leider scheinen diese Optionen in Server 2016 nicht mehr zu funktionieren. Hat jemand eine neue Methode gefunden?
Ryan Bolger
7

Ich halte es nicht für eine gute Idee, die Benutzerkontensteuerung zu deaktivieren oder die gesamte Windows Explorer-Shell im erhöhten Modus auszuführen.

Denken Sie stattdessen daran, ein anderes Tool für die Dateiverwaltung zu verwenden. Ich denke, der Explorer ist sowieso kein gutes Werkzeug, um ernsthafte Arbeit mit vielen Dateien zu leisten. Ein Programm mit zwei Fenstern nebeneinander ist dafür viel besser geeignet.

Es gibt viele Explorer-Ersatz-Tools, einige kostenlos, andere kommerziell. Alle können mit erhöhten Rechten ausgeführt werden, sodass Berechtigungen kein Problem mehr darstellen. Möglicherweise möchten Sie sogar zwei verschiedene verwenden. Eine für den normalen Gebrauch, eine für den erhöhten administrativen Gebrauch.

Viele von ihnen werden auch portabel ausgeführt, sodass Sie sie nicht installieren müssen. Kopieren Sie einfach einige Dateien und führen Sie sie aus.

Ich gebe keine Empfehlung für ein bestimmtes Tool ab, das ist eine andere Frage

Peter Hahndorf
quelle
Für mich wäre es genau das, was ich brauche, um die Benutzerkontensteuerung auszuschalten oder kontinuierlich in einer erhöhten Hülle zu laufen. Die meisten Management-Konsolen brechen auch ohne Erhebung - sie abzudecken ist eine nette Spielerei. Ich kenne die verschiedenen Kommandeure da draußen, aber ich mag den "Out-of-the-Box" -Charakter von Scotts Antwort sehr, da ich nur meine Hände an der Tastatur haben müsste, damit es funktioniert.
The-Wabbit
2

Dies war auch für mich frustrierend, bis ich herausgefunden habe, warum die Benutzerkontensteuerung das Durchsuchen von Ordnern unterbricht, auf die ich als Administrator inhärenten Zugriff habe. Es gibt eine Lösung:

  1. Lassen Sie die Benutzerkontensteuerung eingeschaltet
  2. Fügen Sie in Ihren Ordner-ACLs einen ACE hinzu, der dem Sicherheitsprinzip "INTERACTIVE" die Berechtigung zum Durchsuchen von Ordnern und zum Auflisten von Ordnerinhalten erteilt.

Wenn Sie dies zu den Ordner-ACLs hinzufügen, können Ihre Administratoren die Ordnerstruktur durchsuchen, ohne von einer UAC-Eingabeaufforderung getroffen zu werden.

RobusteErde
quelle
2

Dies scheint beabsichtigt zu sein. Weitere Informationen finden Sie in diesem Thread:

http://social.technet.microsoft.com/Forums/windows/en-US/1798a1a7-bd2e-4e42-8e98-0bc715e7f641/

Laut Plakat Andre.Ziegler in diesem Thread:

Wie ich Ihnen bereits sagte, verwendet Windows 7 Explorer eine DCOM-basierte Startmethode, die verhindert, dass Sie den Windows Explorer mit erhöhten Rechten ausführen.

Eine Lösung besteht darin, den Freeware-Dateimanager Explorer ++ zu verwenden . Explorer ++ bietet die Option, die aktuelle Berechtigungsstufe in der Titelleiste anzuzeigen, sodass Sie leicht sehen können, ob sie mit erhöhten Rechten ausgeführt wird.

Eine andere Lösung ist die Verwendung von Nomad.NET , einem anderen netten Freeware-Dateimanager, der auf .NET basiert.

Bill_Stewart
quelle
1

Verwenden Sie eine erhöhte PowerShell ISE-Instanz. Das bereitgestellte Dialogfeld "Datei" ist selbst erhöht, sodass Sie Verzeichnisse durchlaufen können.

Draghon
quelle
1

Ich bin auf dieses Problem gestoßen, RDPing in Server, um Dinge auf ihnen zu tun.

Für mich ist es ein Fall, das nicht zu tun. Ich kann über den Explorer auf meinem Heimsystem auf die Dateien zugreifen und habe vollen Zugriff.

\\ remote.com \ c $ Bringt mich ohne Einschränkung zu den Dingen, die ich als Administrator haben möchte.

Das verbleibende Problem besteht darin, dass Sie Dateien zwischen Systemen übertragen, während Sie daran arbeiten, jedoch nur für kleine Dateien. Es ist mir egal.

-Larry

Larry
quelle
0

Mehrere Personen haben dazu beigetragen, dass dieses Verhalten einer der Punkte der Benutzerkontensteuerung ist: Sie sollen anhalten und darüber nachdenken, was Sie tun werden. Eine Antwort auf diese bereits erwähnte Ansicht ist, dass es in Ordnung ist, einmal gefragt zu werden, aber nicht jedes Mal gefragt zu werden. Single. Zeit. während eines möglicherweise etwas langwierigen Verfahrens. Es ist etwas analog zu dem Wunsch, nicht jedes Mal, wenn Sie innerhalb eines Hauses von einem Raum in einen anderen gingen, Ihren Hausschlüssel verwenden zu müssen.

Ich möchte jedoch auf einen semantischen Unterschied zwischen der Situation des OP und der üblichen UAC-Eingabeaufforderungssituation hinweisen: Die Explorer-Meldung mit der Aufforderung "Sie haben derzeit keine Berechtigung, auf diesen Ordner zuzugreifen" entspricht konzeptionell nicht der Standard-UAC-Eingabeaufforderung.

Wenn Sie eine reguläre UAC-Anforderung in Ordnung bringen, können Sie zulassen, dass das Programm erhöht ausgeführt wird (dh mit den Anmeldeinformationen der Gruppe Administratoren). Diese Gewährung endet, wenn das Programm beendet wird. Die einzigen dauerhaften Auswirkungen sind, was auch immer das Programm getan hat, während es erhöht ist.

Wenn Sie auf OK klicken, wird die Explorer-Eingabeaufforderung angezeigt, wenn Sie versuchen, einen Ordner zu durchsuchen, für den Sie keine Berechtigung zum Anzeigen haben. Sie führen nichts Erhöhtes aus. Stattdessen ändern Sie die Dateisystemberechtigungen (ACLs), um Ihrem eigenen Benutzer Vollzugriff auf den Ordner zu gewähren. Die erteilte Berechtigung ist nicht nur weitaus umfassender als die für das Erkunden erforderlichen Berechtigungen zum Lesen / Durchlaufen von Ordnern. Diese Berechtigung ist im Wesentlichen dauerhaft (bis jemand sie explizit entfernt) und nicht nur für die Dauer des Besuchs des Explorers im Ordner.

Wenn die Eingabeaufforderung tatsächlich bedeutete, den Explorer mit den Anmeldeinformationen der Administratorgruppe auszuführen, wäre dies eine andere Angelegenheit und viel analoger zur regulären UAC-Eingabeaufforderung (dies scheint der Fall zu sein, wenn Sie aufgefordert werden, Administratorrechte zum Anzeigen / Bearbeiten von Berechtigungen zu verwenden das Formular Erweiterte Sicherheitseinstellungen). Dies würde natürlich nur funktionieren, wenn die Administratoren tatsächlich über den erforderlichen Zugriff verfügen, da die Administratorgruppe keinen Freibrief zum Umgehen von Dateisystemberechtigungen hat. Ich habe keine gute Erklärung dafür gefunden, aber letztendlich scheint die Administratorgruppe nur die Standardeinstellung "Vollzugriff zulassen" zu erhalten, und der Dateizugriff ist nicht gewährleistet, da er mit expliziten "Verweigern" -Berechtigungen verweigert werden kann.

Nebenbei habe ich beim Testen der Zugriffsberechtigungen für diesen Artikel festgestellt, dass durch das Ändern des Eigentums an einem Objekt manchmal die ACL-Einträge für den integrierten OWNER-Principal geändert werden (der je nach Windows-Version unter verschiedenen Namen geführt wird) dass sie für "Nichts" eher eine der üblichen Auswahlmöglichkeiten sind (zB "dieser Ordner"). Dies trat mindestens zweimal bei ACLs auf, die dem Eigentümer den Zugriff verweigern.

Eine andere Beobachtung ist, dass es sehr schwierig ist zu bestimmen, welches Verhalten das bloße Verhalten des Dateisystems ist und welche Verzierungen von der Benutzeroberfläche hinzugefügt werden, die zum Ändern der Berechtigungen verwendet wird (in diesem Fall das Formular Erweiterte Sicherheitseinstellungen des Windows-Explorers). . Zum Beispiel würde das Befehlszeilentool TAKEOWN zu einem bestimmten Zeitpunkt (korrekt) einem nicht privilegierten Benutzer, dem zufällig der Zugriff "Besitz übernehmen" gewährt wurde, ermöglichen, den Besitz eines Ordners zu übernehmen. Die erweiterten Sicherheitseinstellungen bestanden darauf, dass die Anmeldeinformationen des Administrators eingegeben werden, bevor dies getan wird Dies.

Kevin Martin
quelle