不明白为什么我需要一个提升的令牌来访问具有完全访问权限的文件夹

Question

我四处寻找这个问题，我能找到的只是常见的“我是管理员，但需要提升”这类问题。这不太一样。

我在文件服务器上有一个 D 驱动器（2008 r2 并且在 2012 上也设置了同样的问题），其中包含一个共享给用户的文件夹。每个人都可以通过网络访问整个共享驱动器，除了一些只有特定组才能访问的文件夹。

我进行了设置，以便那些特定的子文件夹停止继承权限，而只授予对相关组的完全访问权限（与管理员无关）。我有一个域用户，它是域中每台机器上的备份操作员组和所有本地备份操作员组的成员（通过 GPO 设置）。此用户用于运行文件同步程序，以便每晚将文件共享同步到 NAS 进行备份。该软件也在相关机器上运行，而不是远程运行。

我为用户提供了交互式登录的能力，因此我可以在该帐户下设置软件并在为它创建计划任务之前测试备份是否有效。

最初的问题是该软件无法访问受保护程度更高的文件夹 - 据我所知，备份操作员不可能做到这一点。因此，我将备份操作员组显式添加到具有完全访问权限的文件夹权限中 - 同样的错误。因此，我使用资源管理器找到了有问题的文件夹 - 并注意我不是以管理员身份运行，但是尽管这个窗口要求我提升。

现在这是问题 - 为什么非管理员帐户需要管理员令牌来访问它具有完全权限的文件夹（通过它的组备份操作员）？这不是在系统文件夹或系统驱动器中，它只是一个普通驱动器，在一堆普通文件夹下，对它们有一些更严格的限制。

我真的不明白为什么在这种情况下甚至需要 UAC - 这与管理员无关！

谢谢

编辑：

评论要求的文件夹权限：

C:\Windows\system32>icacls "d:\share\support\tech documents"
d:\share\support\tech documents
QUT\access tech docs:(OI)(CI)(F)
QUT\Domain Admins:(OI)(CI)(F)
BUILTIN\Backup Operators:(OI)(CI)(F)

Successfully processed 1 files; Failed processing 0 files


C:\Windows\system32>icacls "d:\share\support"
d:\share\support BUILTIN\Administrators:(F)
Everyone:(I)(OI)(CI)(M)
BUILTIN\Backup Operators:(I)(OI)(CI)(F)
QUT\Enterprise Admins:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(F)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
QUT\Domain Admins:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
BUILTIN\Users:(I)(OI)(CI)(RX)
BUILTIN\Users:(I)(CI)(S,AD)
BUILTIN\Users:(I)(CI)(S,WD)

Successfully processed 1 files; Failed processing 0 files

有问题的文件夹上方的文件夹只是继承权限，技术文档之一已禁用继承并设置了显式权限。

Answer 1

一些快速的实验证实了我最初的怀疑，即以Backup Operators与 相同的方式对待Administrators，即组中的用户Backup Operators被视为管理员并获得分割令牌。这意味着您需要提升才能利用成为群组成员的优势Backup Operators，就像您需要提升才能利用成为群组成员的优势一样Administrators。

\n\n

这是有道理的，因为以备份操作员权限运行的恶意代码可以轻松地利用该权限来给予自己无限制的访问权限。

\n\n\n\n

附录：如果我没记错的话，当这个答案第一次写出来时，Windows 并不能很好地应对这种情况。此问题已得到解决。如果您尝试提升权限，例如使用“以管理员身份运行”，系统将提示您输入管理用户名和密码。但是，您现在可以提供自己的用户名和密码，而不是管理用户名和密码。当然，新进程不会具有管理员权限，但它将具有您的帐户已被授予的任何权限和组成员身份，即使它们通常会被过滤掉。

\n\n\n\n

MSDN 文章“教您的应用程序如何使用 Windows Vista 用户帐户控制”包含将导致创建拆分令牌的所有组和权限的列表。

\n\n

团体：

\n\n

\n
• 内置管理员
\n
• 高级用户
\n
• 账户运营商
\n
• 服务器运营商
\n
• 打印机操作员
\n
• 备份操作员
\n
• RAS 服务器组
\n
• Windows NT 4.0 应用程序兼容组
\n
• 网络配置操作符
\n
• 域管理员
\n
• 域控制器
\n
• 证书颁发机构
\n
• 架构管理员
\n
• 企业管理员
\n
• 组策略管理员
\n

\n\n

特权：

\n\n

\n
• SeCreateTokenPriv\xc2\xadi\xc2\xadlege
\n
• SeTcb特权
\n
• Se\xc2\xadTake\xc2\xadOwner\xc2\xadship\xc2\xadPriv\xc2\xadilege
\n
• Se\xc2\xadBack\xc2\xadup\xc2\xadPriv\xc2\xadi\xc2\xadlege
\n
• Se\xc2\xadRe\xc2\xadstore\xc2\xadPrivilege
\n
• Se\xc2\xadDe\xc2\xadbug\xc2\xadPriv\xc2\xadilege
\n
• Se\xc2\xadIm\xc2\xadpersonatePrivilege
\n
• SeRelabelPrivilege
\n

\n\n

注意：该列表是为 Windows Vista 编写的。不知道Windows以后的版本是否有变化。

\n