Рассмотрим следующую ситуацию.

Допустим, на моем компьютере зарегистрированы две интерактивные учетные записи локальных пользователей: Admin (член группы « Administrators ») и Alice (член группы « Users »). Допустим, у меня на жестком диске есть папка Test со следующими настройками безопасности: 

Owner : Alice
Permissions:
  System : Full Control
  Administrators: Full Control
  Alice : Full Control

Теперь, если я войду в систему под учетной записью Admin и попытаюсь открыть папку « Test , Windows сначала откажется это сделать. Появится окно с сообщением 

"You don't currently have permissions to access this folder"

Мой первый вопрос: почему? Я вошел в систему как Admin - член группы Administrators - и поэтому я должен иметь полный контроль над папкой. Почему Windows говорит, что у меня нет разрешений?

Теперь вышеупомянутое окно сообщения также предоставит мне возможность «Нажмите Продолжить, чтобы навсегда получить доступ к этой папке». Если я нажму "Продолжить", мне разрешат открыть папку « Test . И, как следствие этого, настройки безопасности Test изменятся на 

Owner : Alice
Permissions:
  System : Full Control
  Administrators: Full Control
  Alice : Full Control
  Admin : Full Control

Как видите, Windows автоматически добавила дополнительную запись Admin: Full Control доступ к списку. После этого я смогу получить доступ к Test без каких-либо ограничений. Однако приведенный выше набор разрешений безопасности мне кажется излишним. В него уже включены Administrators: Full Control вход с полным контролем с самого начала. Почему этого было недостаточно?

Итак, мой второй вопрос: зачем Windows дополнительная запись Admin: Full Control доступ, чтобы, наконец, дать Admin этот "полный контроль".

Какая формальная логика стоит за этим поведением?

Некоторые уточнения

Обратите внимание, что этот вопрос не о том, что моя учетная запись Admin не является "всемогущим администратором, который может делать все, что он хочет". Я не ожидаю, что моя учетная запись Admin будет всемогущей вообще. На самом деле, на самом базовом уровне меня не волнуют какие-либо особые права моей учетной записи Admin . Это просто какая-то учетная запись, которая принадлежит какой-то группе.

Мой вопрос касается прав доступа к файловой системе, предоставляемых через членство в группах.

Рассмотрим другой пример. Допустим, я создал какую-то случайную группу пользователей под названием « Ugly Ducklings . И я добавил обычных пользователей Alice и Bob в группу « Ugly Ducklings ».

Затем я создаю папку DucklingTest со следующими разрешениями

Owner : Alice
Permissions:
  Ugly Ducklings : Full Control

Теперь, если я войду как Bob меня действительно будет полный контроль над папкой DucklingTest (!).

Зачем?

Мой Bob всесильный администратор? Нет. Является ли мой Bob привилегированным? Нет. Должен ли я как-то "поднять" Bob , чтобы получить доступ к DucklingTest? Нет.

Итак, почему Bob имеет полный контроль над папкой DucklingTest ?

Легко. Bob имеет полный контроль над папкой DucklingTest потому что Bob является членом группы Ugly Ducklings группе Ugly Ducklings предоставлены права полного контроля над DucklingTest . Конец истории.

Почему такая же логика не относится к Admin и Administrators? Admin является членом группы « Administrators », а группе « Administrators » предоставлены разрешения на полный контроль над папкой « Test ». Чего здесь не хватает? Какой дополнительный "контроль" Windows пытается применить в этом случае, устанавливая то, что выглядит как дополнительные ограничения для членов группы « Administrators »?

|источник

1 ответ1

2

Если я нажму "Продолжить", мне разрешат открыть папку "Тест"

Далее объясняется, почему Windows автоматически добавляет дополнительную запись Admin: Full Control to the list доступ к списку .

Предположим, что контроль учетных записей (UAC) включен, и вы используете проводник Windows для доступа к папке, для которой у вас нет разрешений на чтение.

Кроме того, папка не помечена как скрытыми, так и системными атрибутами. В этой ситуации проводник Windows отображает диалоговое окно, которое предлагает вам следующее:

"У вас нет прав доступа к этой папке. Нажмите «Продолжить», чтобы навсегда получить доступ к этой папке.

Замечания:

  • В Windows Vista и Windows Server 2008 второе предложение не включает слово «навсегда»; он просто говорит «Нажмите Продолжить, чтобы получить доступ к этой папке».

Затем у вас есть возможность нажать Продолжить или Отмена. (Продолжение выбрано по умолчанию.)

  • Если вы нажмете «Продолжить», UAC попытается получить права администратора от вашего имени.

  • В зависимости от параметров безопасности UAC, которые управляют поведением запроса на повышение прав UAC, и от того, являетесь ли вы членом группы администраторов, вам может быть предложено согласие или учетные данные.

  • Или, возможно, вам вообще не предложат. Если UAC может получить права администратора, фоновый процесс изменит разрешения для папки, а также для всех ее подпапок и файлов, чтобы предоставить им доступ к вашей учетной записи пользователя.

  • В Windows Vista и Windows Server 2008 фоновый процесс предоставляет вашей учетной записи разрешения на чтение и выполнение. В более поздних версиях Windows этот процесс предоставляет вашей учетной записи полный доступ.

Такое поведение является особенностью. Но поскольку типичным шаблоном с повышением прав UAC является запуск экземпляра программы с повышенными правами с правами администратора, пользователи могут ожидать, что при нажатии кнопки «Продолжить» будет создан экземпляр Windows Explorer с повышенными правами, а не внесены постоянные изменения в разрешения файловой системы.

Однако это ожидание невозможно, так как дизайн Windows Explorer не поддерживает запуск нескольких экземпляров процесса в разных контекстах безопасности в интерактивном сеансе пользователя.

Если UAC отключен, повышение UAC невозможно.

  • Все программы, запускаемые членами группы «Администраторы», включая Windows Explorer, всегда имеют права администратора.

  • Поэтому администраторам не нужно использовать повышение прав для доступа к ресурсам, которые требуют административных прав.

Например, если папка предоставляет доступ только группе «Администраторы» и системной учетной записи, администратор может просматривать ее напрямую, без запроса об изменении разрешений папки.

  • Если у пользователя нет прав на чтение, в проводнике Windows отобразится диалоговое окно, которое было описано ранее.

  • Однако, если UAC отключен, Windows не может запрашивать учетные данные администратора от имени пользователя с помощью запроса повышения прав UAC.

  • Поэтому Windows не запускает фоновый процесс с правами администратора для изменения разрешений файловой системы.

Однако если пользователь нажимает кнопку «Продолжить» и текущий дескриптор безопасности папки предоставляет пользователю разрешение на чтение и изменение разрешений объекта, Windows запустит фоновый процесс в текущем контексте безопасности пользователя и изменит разрешения папки, чтобы предоставить пользователю более широкий доступ. как описано ранее.

Пользователь может иметь разрешение на чтение и изменение разрешений объекта из владения объектом или из списка управления доступом (ACL) объекта.

Источник Когда вы нажимаете «Продолжить» для доступа к папке в Windows Explorer, ваша учетная запись пользователя добавляется в ACL для папки.

Я вошел в систему как администратор - член группы администраторов

и поэтому я должен иметь полный контроль над папкой. Почему Windows говорит, что у меня нет разрешений?

Учетная запись с именем Admin не является встроенной учетной записью Administrator (которая называется Administrator).

Встроенная учетная запись администратора не требует повышения привилегий, в то время как пользователи, которых вы создаете и помещаете в группу администраторов, делают это (при условии, что UAC не отключен).

Если вы хотите сделать что-то, что требует прав администратора, используя учетную запись, созданную (например, Admin) и помещенную в группу «Администраторы», вам нужно будет либо:

  • Подтвердите повышение привилегий по запросу, или

  • Запустите от имени администратора, щелкнув правой кнопкой мыши приложение и выбрав опцию.

Администратор не Администратор

Пользователь пытался установить для владельца файла значение «Администратор». Пользователь не смог сделать это, даже если он вошел в систему как администратор. Почему система не позволяет администратору сменить владельца файла на Администратора? Разве у администраторов нет прав на владение файлами?

...

Так вы знаете разницу между администратором и администраторами?

Администратор это аккаунт.

  • Если разрешение или привилегия предоставлены Администратору, это может сделать только тот, кто вошел в систему с учетной записью Администратора, то есть с учетной записью, имя которой по умолчанию - Администратор (на английском языке).

Администраторы, с другой стороны, это группа.

  • Если вы являетесь членом группы "Администраторы" компьютера, вам были предоставлены права администратора на этом компьютере.

  • Это членство в группе администраторов, на которое ссылаются люди, когда говорят что-то вроде: "Я администратор на этом компьютере".

  • Использование неопределенной статьи ("an") в отличие от определенной статьи ("the") подчеркивает, что пользователь является лишь одним из многих администраторов.

Все становится более двусмысленным, когда люди говорят что-то вроде: "Я работаю администратором". Это может означать, что они работают под учетной записью администратора или с учетной записью, которая является членом группы администраторов.

Как только вы поймете эту разницу, станет ясно, почему пользователь, о котором я упоминал ранее, не смог переназначить владельца файла.

  • Пользователь вошел в систему с учетной записью, которая принадлежит к группе администраторов, но не с самой учетной записью администратора.

  • Давайте назовем аккаунт пользователя "Боб". Привилегия SeTakeOwnershipPrivilege назначается членам группы "Администраторы", что позволяет членам этой группы назначать права собственности для себя. Однако эта привилегия не позволяет участникам назначать права собственности кому-либо еще.

  • В этом примере Боб может назначить владение файлом Бобу. Но он по ошибке пытается присвоить права владения Администратору, и, поскольку Боб не то же самое, что Администратор, операция не выполняется.

Пользователь должен войти в систему с учетной записью администратора и получить права собственности на файлы оттуда. В этом случае Администратор назначает право собственности на себя. (В противном случае Боб мог бы включить SeRestorePrivilege перед установкой владельца.

  • Однако этот метод несколько неортодоксален, поскольку SeRestorePrivilege предназначен для использования программами резервного копирования.)

Источник Администратор не Администратор

дальнейшее чтение

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .