Насколько велик риск полного доступа администратора к системной папке? Что мне действительно нужно, так это отредактировать файл хоста в папке System32, для чего мне нужно предоставить полный доступ администратору к системной папке?
Это сообщение говорит, что это может снизить безопасность системы:
Чтобы решить проблему с файлом hosts ... все, что вам нужно сделать, это запустить Блокнот с повышенными правами, а затем использовать Файл-> Открыть, чтобы отредактировать его. Вы не можете просто дважды щелкнуть по нему из окна проводника. Этот файл, в частности, заблокирован.
Кроме того, разрешения по умолчанию для каталогов \Windows и \Program Files самом деле довольно специфичны, и есть некоторые хитрости ACL, которые очень сложно восстановить, если вы измените разрешения. Вы можете увидеть это в расширенных настройках; множество специальных разрешений для разных уровней. Вы никогда не должны изменять разрешения для каталогов операционной системы или корня диска C:. Это может привести к серьезным проблемам, которые вы сможете устранить, только если сбросить полный контроль куда-нибудь, что фактически ухудшит ситуацию с безопасностью по сравнению с тем, что было с самого начала.
Если включен контроль учетных записей (который на самом деле не следует отключать без особой причины), Windows предоставляет дополнительные средства защиты для каталогов \Windows и \Program Files чтобы даже администраторы не могли записывать туда файлы без явного повышения их учетных данных.
Если вы обнаружите, что безопасность в системе слишком ограничительна, вам следует обратиться к привилегиям доступа пользователей, а не пытаться изменять разрешения каталога.
Обращаясь к вашему скриншоту, для группы администраторов вполне нормально иметь полный контроль
На практике администраторы - это единственные пользователи, которые должны быть включены в группу "Администраторы", обычно это люди, которым компания доверяет и которые хорошо платят, чтобы все работало.
Назначение в эту группу только доверенных лиц, т.е. системных администраторов или некоторых доверенных разработчиков, является абсолютно нормальным и безопасным.
Если каждый средний joe в компании входит в эту группу, то это может вызвать большие проблемы, если это так, я бы порекомендовал изменить его немедленно, в противном случае ваши серверы / сеть могут быть заражены вредоносными программами от некоторых пользователей, загружающих файлы из неправильный сайт.
Я бы порекомендовал посмотреть некоторые из этих видео, чтобы лучше понять пользователей, группы и разрешения.
Создание и администрирование групп в Active Directory в Windows Server 2012 https://www.youtube.com/watch?v=C3UV3RTW7HI
Введение в права доступа к файлам и общим ресурсам в Windows Server 2012 https://www.youtube.com/watch?v=fJHFmt6F0Rc
Создание и администрирование учетных записей пользователей в Active Directory в Windows Server 2012 https://www.youtube.com/watch?v=DrNwJraGfjQ
