Explorateur Windows et UAC: exécuter avec élévation

Je suis profondément ennuyé par l'UAC et le désactive pour mon utilisateur administrateur partout où je le peux. Pourtant, il y a des situations où je ne peux pas - surtout si ce sont des machines qui ne sont pas sous mon administration continue.

Dans ce cas, je suis toujours confronté à la tâche de parcourir les répertoires à l'aide de mon utilisateur administratif via l'Explorateur Windows où les utilisateurs réguliers n'ont pas les autorisations de "lecture". Les deux approches possibles de ce problème jusqu'à présent:

1. changer les ACLs dans le répertoire en question à mon utilisateur (Windows offre facilement le Continuebouton dans la « Vous ne disposez pas des autorisations pour accéder à ce dossier » boîte de dialogue. Cette suce évidemment depuis le plus souvent je ne pas envie de changer ACLs mais il suffit de regarder le contenu du dossier

2. utiliser une invite cmd.exe élevée avec un tas d'utilitaires de ligne de commande - cela prend généralement beaucoup de temps lors de la navigation dans des structures de répertoire volumineuses et / ou complexes

Ce que j'aimerais voir serait un moyen d'exécuter l'Explorateur Windows en mode élevé. Je n'ai pas encore trouvé comment procéder. Mais d'autres suggestions résolvant ce problème de manière discrète sans changer la configuration complète du système (et de préférence sans avoir besoin de télécharger / installer quoi que ce soit) sont également les bienvenues.

J'ai vu ce post avec une suggestion pour modifier HKCR - intéressant, mais il change le comportement de tous les utilisateurs, ce que je ne suis pas autorisé à faire dans la plupart des situations. En outre, certaines personnes ont suggéré d'utiliser des chemins UNC pour accéder aux dossiers - malheureusement, cela ne fonctionne pas lors de l'accès à la même machine (c'est-à-dire \\localhost\c$\path) car l'appartenance au groupe "Administrateurs" est toujours supprimée du jeton et une ré-authentification (et donc la création d'un nouveau jeton) ne se produirait pas lors de l'accès à localhost.

PRE-2012/8

(images et idée originale de http://kb.cadzow.com.au:15384/cadzow/details.aspx?Print=Y&ID=2343 )

1. Ouvrez une invite de commandes d'administration.
2. Ctrl + Maj + Rt-clic sur Arrêt dans le menu Démarrer.

3. Choisissez Exit Explorer
4. tapez explorerdans l'invite de commande élevée et appuyez sur entrée.

L'Explorateur s'exécute maintenant dans le contexte élevé de l'invite de commandes élevée.

2012/8

1. Ouvrez une invite de commandes d'administration.
2. Démarrez le gestionnaire de tâches et développez-le More details
3. Rt-cliquez Windows Exploreret choisissez End task
4. Tapez dedans explorerà l'invite de commande élevée et appuyez sur Entrée.

L'Explorateur s'exécute maintenant dans le contexte élevé de l'invite de commandes élevée.

Prenez note, une fois que vous faites cela, vous pouvez avoir du mal à ne pas exécuter un programme élevé. Tout programme sur lequel vous double-cliquez ou ouvrez via l'association de fichiers s'exécutera également avec une élévation.

Caveat

Si Explorer est défini sur "Lancer les fenêtres de dossier dans un processus distinct" (Options des dossiers> Affichage), les fenêtres de dossier ne seront pas élevées même si le processus principal de l'explorateur l'est. La solution consiste à désactiver cette option afin que toutes les fenêtres de dossiers fassent partie du processus d'exploration élevé.

Je ne pense pas que ce soit une bonne idée de désactiver l'UAC ou d'exécuter l'intégralité du shell de l'Explorateur Windows en mode élevé.

Pensez plutôt à utiliser un outil différent pour gérer votre fichier. Je pense qu'Explorer n'est pas un bon outil pour faire un travail sérieux avec de nombreux fichiers de toute façon. Un programme avec deux volets côte à côte est bien mieux adapté à cela.

Il existe de nombreux outils de remplacement d'Explorer, certains gratuits, d'autres commerciaux. Tous peuvent être exécutés de manière élevée afin que les autorisations ne soient plus un problème. Vous pouvez même en utiliser deux différents. Un pour une utilisation normale, un pour une utilisation administrative élevée.

De plus, beaucoup d'entre eux fonctionnent sur portable, vous n'avez donc pas besoin de les installer, copiez simplement quelques fichiers et exécutez-le.

Je ne fais pas de recommandation pour un outil particulier, c'est une question différente

Cela a été frustrant pour moi aussi jusqu'à ce que j'étudie pourquoi UAC interrompt ma traversée des dossiers auxquels j'ai un accès inhérent en tant qu'administrateur. Il existe une solution:

1. Laissez UAC activé
2. Dans vos ACL de dossier, ajoutez un ACE qui donne au principe de sécurité "INTERACTIF" les autorisations pour parcourir les dossiers et répertorier le contenu des dossiers.

Si vous ajoutez cela aux listes de contrôle d'accès des dossiers, vos administrateurs pourront parcourir la structure des dossiers sans être touchés par une invite UAC.

Cela semble être par conception. Voir ce fil pour plus d'informations:

http://social.technet.microsoft.com/Forums/windows/en-US/1798a1a7-bd2e-4e42-8e98-0bc715e7f641/

Selon l'affiche Andre.Ziegler dans ce fil:

Comme je vous l'ai déjà dit, l'Explorateur Windows 7 utilise une méthode de démarrage basée sur DCOM [sic] qui vous empêche d'exécuter l'explorateur Windows élevé.

Une solution consiste à utiliser le gestionnaire de fichiers freeware Explorer ++ . Explorer ++ a une option pour afficher le niveau de privilège actuel dans sa barre de titre, afin que vous puissiez facilement voir s'il fonctionne en mode élevé.

Une autre solution consiste à utiliser Nomad.NET , un autre joli gestionnaire de fichiers freeware basé sur .NET.

Utilisez une instance PowerShell ISE élevée. La boîte de dialogue Fichier qu'elle fournit est elle-même élevée, vous donnant la possibilité de parcourir les répertoires.

Je suis tombé sur ce problème RDPing dans les serveurs pour faire des choses sur eux.

Pour moi, il s'agit de ne pas faire ça. Je peux accéder aux fichiers depuis l'explorateur sur mon système domestique et cela me donne un accès complet.

\\ remote.com \ c $ Me permet d'accéder à ce que je veux en tant qu'administrateur sans restriction.

Le problème restant est que vous transférez des fichiers entre systèmes tout en travaillant dessus, mais pour de petits fichiers. Je m'en fiche.

-Larry

Plusieurs personnes ont contribué à ce que ce comportement soit l'un des points de l'UAC: vous faire arrêter et réfléchir à ce que vous vous apprêtez à faire. Une réponse à ce point de vue, déjà dit, est qu'être posé une fois est bien, mais pas demandé à tous. Célibataire. temps. au cours de ce qui pourrait être une procédure quelque peu longue. C'est quelque peu analogue de ne pas vouloir utiliser votre clé de maison à chaque fois que vous passez d'une pièce à l'autre dans la maison.

Mais je tiens à souligner une différence sémantique entre la situation de l'OP et la situation habituelle de l'invite UAC: le message de l'explorateur avec l'invite "Vous n'avez actuellement pas les autorisations d'accès à ce dossier" n'est pas conceptuellement le même que l'invite UAC standard.

Lorsque vous OK une demande UAC régulière, vous autorisez le programme à exécuter élevé (c'est-à-dire avec les informations d'identification du groupe Administrateurs); cette attribution prend fin à la fin du programme. Les seuls effets durables sont tout ce que le programme a pu faire pendant qu'il était élevé.

Lorsque vous OK l'invite de l'explorateur produite lorsque vous essayez d'explorer dans un dossier que vous n'êtes pas autorisé à afficher, vous n'exécutez rien élevé. Au lieu de cela, vous modifiez les autorisations du système de fichiers (ACL) pour accorder à votre propre utilisateur un contrôle total sur le dossier. Non seulement l'autorisation accordée est beaucoup plus large que les autorisations de lecture / cheminement de dossier que l'exploration nécessite, cette autorisation est essentiellement permanente (jusqu'à ce que quelqu'un la supprime explicitement), plutôt que juste pour la durée de la visite de l'explorateur dans le dossier.

Si l'invite signifiait réellement exécuter l'explorateur à l'aide des informations d'identification du groupe Administrateurs, ce serait un problème différent et beaucoup plus analogue à l'invite UAC standard (cela semble être ce qui se passe si vous êtes invité à utiliser les pouvoirs d'administrateur pour afficher / modifier les autorisations dans le formulaire Paramètres de sécurité avancés). Cela ne fonctionnerait, bien sûr, que si les administrateurs avaient réellement l'accès requis car le groupe Administrateurs n'a pas carte blanche pour contourner les autorisations du système de fichiers. Je n'ai pas trouvé une bonne explication à cela, mais finalement tout le groupe Administrateurs semble obtenir est un "autoriser le contrôle total" par défaut, et l'accès aux fichiers n'est pas assuré car il peut être refusé en utilisant des autorisations explicites "Refuser".

En passant, lors du test des autorisations d'accès pour cet article, j'ai observé que le changement de propriété d'un objet modifie parfois les entrées ACL pour le principal intégré OWNER (qui porte différents noms selon la version de Windows). qu'ils s'appliquent à "Rien" plutôt à l'un des choix habituels (par exemple "ce dossier"). Cela s'est produit au moins deux fois pour les ACL qui refusent l'accès au propriétaire.

Une autre observation est qu'il est très difficile de déterminer quel comportement est le comportement nu du système de fichiers et ce qui est ajouté des embellissements de l'interface utilisateur utilisés pour modifier les autorisations (dans ce cas, le formulaire Paramètres de sécurité avancés de l'Explorateur Windows) . Par exemple, à un moment donné, l'outil de ligne de commande TAKEOWN permettrait (correctement) à un utilisateur non privilégié qui se serait vu accorder un accès "Prendre possession" de s'approprier un dossier, ce que les paramètres de sécurité avancés insistaient pour que les informations d'identification des administrateurs soient entrées avant de le faire. ce.