Autorisations des dossiers Windows, Administrateurs et UAC, quelle est la "bonne" façon de gérer cela?

8

J'ai un dossier avec des autorisations:

  • Administrateurs (groupe): Complet.
  • J. Bloggs: Complet.

Je suis connecté en tant que membre du groupe Administrateurs.

Je ne peux pas ouvrir le dossier dans l'Explorateur car "vous n'avez pas d'autorisation".

Je soupçonne que cela est dû au fait que les processus normaux n'ont pas le jeton d'autorisation administrateur en raison de l'UAC, sauf si vous exécutez également en tant qu'administrateur. Mais je ne peux pas faire ça pour l'Explorateur Windows, n'est-ce pas?

Donc, mes options semblent être les suivantes: - Cliquez sur le bouton pour devenir propriétaire (ruine la propriété, prend du temps sur de gros dossiers, ne résout pas pour les autres administrateurs) - Ajoutez chaque compte administrateur individuel avec des autorisations complètes pour qu'il fonctionne sans le jeton d'administration (administratif désordre, quel est le point dans les groupes)

C'est un design vraiment ennuyeux, il me manque quelque chose. Comment est-il censé fonctionner? Quelle est la «bonne» façon pour un administrateur d'accéder à un dossier auquel les administrateurs ont accès?

windows windows-server-2008 uac TessellatingHeckler
la source
1
Je pense que l' Explorateur ne fonctionne que lorsque vous êtes élevé connecté en tant l' administrateur local de cette machine.
john
2
C'est l'une des raisons pour lesquelles ms a mis à jour ses recommandations de sécurité concernant l'utilisation de uac sur les serveurs. support.microsoft.com/kb/2526083
tony roth
Tony, c'est une surprise totale pour moi, après avoir si longtemps accepté les invites de l'UAC "pour le plus grand bien", d'entendre Microsoft dire qu'il n'y a pas, et ne peut jamais y avoir , de plus grand bien du côté serveur. Citation: "" "Lorsque toutes les tâches de l'utilisateur administratif nécessitent des droits d'administration et que chaque tâche peut déclencher une invite d'élévation, les invites ne sont qu'un obstacle à la productivité. Dans ce contexte, ces invites ne favorisent pas et ne peuvent pas promouvoir l'objectif d'encourager le développement de les applications qui nécessitent des droits d'utilisateur standard "" ". Brillant. Approbation de MS pour désactiver l'UAC! (dans certaines situations limitées).
TessellatingHeckler
cette déclaration "UAC doit également rester activé si les administrateurs exécutent des applications risquées sur le serveur, telles que les navigateurs Web, les clients de messagerie ou les clients de messagerie instantanée, ou si les administrateurs effectuent d'autres opérations qui doivent être effectuées à partir d'un système d'exploitation client tel que Windows 7." est la clé de tout cela.
tony roth
Vous POUVEZ exécuter l'Explorateur avec des privilèges élevés, d'abord: open Task Manager, go to details, kill the existing explorer running as your user.(Remarque: votre menu de démarrage et vos dossiers, etc. disparaîtront), puis, toujours dans le gestionnaire de tâches: Click File, Start New Process, Type Explorer, and select the "Run task with administrative privileges" checkbox, and hit OKvotre menu Démarrer réapparaîtra, vous pouvez maintenant continuer sans avoir à élever chaque fois que vous accédez à un dossier ou à un fichier pour lequel vous disposez d'autorisations uniquement via le groupe d'utilisateurs administratifs.
Ben Personick

Réponses:

4

La solution consiste à gérer simplement le serveur à distance. Le filtrage UAC des privilèges d'administrateur s'applique uniquement lorsque vous accédez au système local.

Avec la sortie de Server Core, Microsoft a fortement encouragé les gens à administrer les serveurs à distance au lieu de s'y connecter directement pour les gérer.

Bien sûr, si vous avez un très petit réseau, cela peut ne pas être possible, donc désactiver l'UAC est correct, ou ajuster les autorisations du système de fichiers afin qu'un autre groupe soit utilisé à la place des administrateurs pour accorder des autorisations.

Zoredache
la source
Il en serait de même par exemple. \\ localhost \ c $ permettre aux administrateurs de voir en tant qu'administrateur? Je pense que j'ai déjà vu ça.
john
Mais ce n'est pas du tout une solution, car je ne suis pas connecté en tant qu'administrateur sur mon bureau. (Je ne suis même pas connecté sur le même domaine, et il n'y a aucune relation de confiance entre eux)).
TessellatingHeckler
Vous n'avez pas besoin d'accéder au système distant en utilisant les informations d'identification que vous avez utilisées pour vous connecter. Connectez-vous au système distant en tant qu'administrateur. net use \\server\share /user:adminuser.
Zoredache
C'est la bonne réponse générale, mais il existe encore trop de produits serveurs Microsoft et OEM qui nécessitent une interaction avec le bureau pour les gérer ou les reconfigurer efficacement. La question d'origine est valide et une solution pour le bureau du serveur "Windows" est requise. Il est étrange que les valeurs par défaut de Microsoft ne prennent pas en charge cela sans autoriser tous les utilisateurs locaux à lire et à tout créer à partir de la racine. J'ai ajouté beaucoup de détails dans une modification suggérée à la réponse de @PaGeY, donc j'espère qu'il accepte cela car actuellement je pense que c'est la meilleure alternative lorsque l'administrateur principal n'est pas possible.
Tony Wall
6

La meilleure façon consiste à définir un nouveau groupe contenant des membres que vous considérez comme administrateurs de ce dossier. Si vous avez un domaine AD, vous pouvez créer ce groupe dans AD, puis ajouter ce groupe au groupe Administrateurs (de la machine locale) et éviter d'avoir à administrer deux groupes.

Remarque: Si vous essayez cela localement, n'oubliez pas que vous devez vous déconnecter et vous reconnecter pour que les nouvelles autorisations prennent effet.

John
la source
J'aurais aimé y avoir pensé plus tôt. C'est légèrement ennuyeux, mais les frais administratifs sont faibles et ne risquent pas de casser quoi que ce soit d'autre.
TessellatingHeckler
1
C'est ainsi que nous avons résolu le problème. Nous avons des groupes comme "Billing-Dept", "IT-Dept", etc. Cela a beaucoup plus de sens dans le contexte d'un dossier unique que "Domain Admins".
Dan
2

Il existe deux options pour contourner facilement cette limitation:

Martin Binder
la source
1
La première est une suggestion pragmatique de votre part sur la façon de contourner ce problème , mais Microsoft ne peut pas avoir l'intention de résoudre ce problème, ce serait ridicule. Le second est intelligent et intéressant, mais je ne fais pas ce type de registre sur des serveurs en direct.
TessellatingHeckler
0

Accordez l'autorisation de lecture / exécution à la racine du lecteur au principal intégré appelé "Interactive". Ensuite, aucune modification de l'UAC n'est requise.

Boîte de dialogue des autorisations root du lecteur interactif.

De cette façon, les personnes connectées au bureau à distance ou "localement" (console VM ou écran physique et clavier) peuvent toujours parcourir les fichiers et exécuter des programmes même avec l'UAC activé.

Par exemple, vous pouvez supprimer l'autorisation par défaut "Les utilisateurs peuvent lire et tout créer à partir de la racine" pour verrouiller le serveur de manière sensible, mais éviter l'impossibilité de se connecter efficacement, parcourir les fichiers et naviguer jusqu'à l'endroit où vous souhaitez modifier les paramètres en tant qu'administrateur.

Dès que vous ouvrez la boîte de dialogue de sécurité et souhaitez modifier les autorisations, un bouton apparaît pour modifier les paramètres en tant qu'administrateur. Vous obtenez ainsi le meilleur des deux mondes:

  1. Aucune restriction à la navigation "locale" de l'administrateur / opérateur sur la structure et le contenu des disques.
  2. Protection contre les modifications par des non-administrateurs.

La seule différence par rapport aux autorisations standard, c'est que nous ne disons pas que seuls les comptes "Utilisateurs" locaux peuvent tout lire, mais uniquement les personnes autorisées à accéder à la console Windows, c'est-à-dire que cela signifie logiquement un accès serveur "physique" (ou virtuel) "interactif" , ce qui n’est accordé à personne. Cela peut ne pas fonctionner pour les serveurs Terminal Server, sauf s'il existe un meilleur moyen de faire la distinction entre ces types de sessions (suggérez de modifier si vous le savez).

Bien sûr, le premier conseil est d'utiliser le cœur du serveur / l'administrateur distant dans la mesure du possible. Mais dans le cas contraire, cela permet d'éviter l'effet final commun selon lequel un serveur était les autorisations utilisateur par défaut. Et ce n'est pas vraiment la faute de l'administrateur, ils essaient juste de faire leur travail avec des outils standard sans aucune complexité particulière (utilisez simplement l'explorateur de fichiers normalement).

Un autre effet positif de cette solution est de pouvoir verrouiller les autorisations du lecteur racine tout en conservant le serveur «utilisable» pour l'administrateur connecté au bureau, la nécessité de désactiver l'héritage pour supprimer les autorisations indésirables d'en haut disparaît souvent. Le fait que tous les utilisateurs puissent lire et créer ce qu'ils veulent sous votre chemin partagé par défaut est une raison courante de désactiver l'héritage lorsque personne ne veut traiter la cause "racine" ;-)

PaGeY
la source
Cela nécessite une meilleure explication.
Sven
J'ai suggéré une modification avec tous les détails car cette réponse est assez bonne lorsqu'un bureau est nécessaire. J'espère que @PaGeY l'accepte.
Tony Wall
@TonyWall, vous devriez probablement envisager d'ajouter votre propre réponse.
Zoredache
0

ne peut pas ouvrir le dossier dans l'Explorateur car "vous n'avez pas l'autorisation".

Je soupçonne que cela est dû au fait que les processus normaux n'ont pas le jeton d'autorisation administrateur en raison de l'UAC, sauf si vous exécutez également en tant qu'administrateur. Mais je ne peux pas faire ça pour l'Explorateur Windows, n'est-ce pas?

Oui, vous POUVEZ exécuter Explorer avec des privilèges élevés pour résoudre votre problème!

Pour ce faire, vous devez:

  • ouvert Task Manager
    • Allez dans l' Detailsonglet
    • Supprimez le " Explorer.exe" fonctionnement existant en tant qu'utilisateur.
      • Remarque: votre menu de démarrage et vos dossiers, etc. disparaîtront, c'est normal
    • Cliquez sur File
    • Sélectionnez " Start New Process"
      • Cela fait apparaître une boîte de dialogue "Créer une nouvelle tâche".
    • Tapez Explorer.exedans le menu déroulant "Ouvrir:".
    • Cochez la Checkboxcase " Run task with administrative privileges"
    • Cliquez sur OK
      • Si l'invite d'élévation apparaît, cliquez sur accept.

Voila!

Votre menu Démarrer réapparaît et l'explorateur Windows est élevé!

Vous exécutez maintenant l'Explorateur en tant que processus élevé, de sorte que toutes les actions de l'explorateur nécessitant une élévation fonctionneront sans avoir besoin de s'élever à chaque fois.

Vous pouvez donc supprimer un dossier ou parcourir un dossier ou vérifier les autorisations ou lire un fichier sans avoir à exécuter une élévation pour chaque action individuelle.

J'ai rencontré cela parce que nous utilisons le mode d'approbation administrateur pour élever sans invite, cependant pour supprimer des dossiers et des fichiers et parfois pour y accéder, cela nous pose des problèmes lorsque l'utilisateur est membre du groupe de l'administrateur local au lieu d'avoir des autorisations express, élévation Explorer a résolu ce problème.

Ben Personick
la source