jim*_*gee 5 windows windows-explorer uac group-policy
http://support.microsoft.com/en-us/kb/950934描述了当管理员组的成员使用资源管理器导航到管理员组具有权限的文件夹时,用户将被提示的方式以“单击继续以永久访问此文件夹”。
当他们这样做时,资源管理器会更改文件夹的 ACL 以授予该特定用户对该文件夹的完全控制权。MS 链接准确地描述了要求它以这种方式进行的设计约束。
但是,它破坏了该文件夹的权限集,并使权限的集中管理变得不可能有效。例如,如果稍后从管理员组中删除指定用户,则该 ACL 条目仍然存在以允许他们访问该文件夹。
我不打算禁用 UAC(我实际上喜欢提升和非提升之间的区别),我很高兴使用替代工具以提升的方式导航和查看文件。
最终的目的是运行 MS 链接中描述的解决方法之一(使用可以提升运行的单独文件导航器,或定义一个单独的组来控制对列入白名单的文件夹的访问)但是,资源管理器一直在继续破坏随意使用文件夹的 ACL,无法确定需要应用这些变通方法的位置(缺少定期审核每个文件夹的 ACL 更改)。
如果我在资源管理器中运行非提升时尝试访问受限制的文件夹,我只是希望获得标准的“访问被拒绝”消息。
是否有设置(在每个框上一次或通过 GPO)删除此“永久访问”提示,同时保留 UAC 的其他功能?
注意:我完全理解为什么这个提示存在,它意味着什么以及为什么行为是这样(尽管我不一定同意设计决定)。但是,我应该指出,我不打算讨论与我的用户的工作实践相关的变通方法,也不打算讨论 UAC 或管理员组成员身份的优缺点。
不,那里没有。
唯一真正的解决方案是使用 Windows 资源管理器以外的其他东西来浏览文件(当然还可以提升运行它)。
问题来自于explorer.exe最初使用非管理员访问令牌启动的事实(为了显示 GUI),并且任何新会话,即使是以管理员身份启动的会话,都会继承这种有限的访问令牌行为。有一种解决方法可以使用管理令牌启动初始 Explorer 实例,但随后您从 GUI 启动的任何内容都会继承管理访问令牌,从而有效地使 UAC 无效。