Permissões de arquivo “Administradores: Controle total”. Por que não é sempre suficiente?

Navegue suas respostas
0

Considere a seguinte situação.

Digamos que eu tenha duas contas de usuário locais interativas registradas em minha máquina: Admin (membro de Administrators group) e Alice (membro de Users group). Digamos que no meu disco rígido eu tenha uma pasta Test com as seguintes configurações de segurança: 

Owner : Alice
Permissions:
  System : Full Control
  Administrators: Full Control
  Alice : Full Control

Agora, se eu fizer login na conta Admin e tentar abrir a pasta Test , o Windows inicialmente se recusará a fazer isso. Ele exibirá uma caixa de mensagem dizendo 

"You don't currently have permissions to access this folder"

Minha primeira pergunta é: por quê? Estou logado como Admin - um membro do Administrators group - e, portanto, devo ter controle total da pasta. Por que o Windows diz que atualmente não tenho permissões?

Agora, a caixa de mensagem mencionada também me oferecerá a oportunidade de clicar em "Continuar para obter acesso permanente a essa pasta". Se eu clicar em "Continuar", poderei abrir a pasta Test . E, como conseqüência disso, as configurações de segurança de Test serão alteradas para 

Owner : Alice
Permissions:
  System : Full Control
  Administrators: Full Control
  Alice : Full Control
  Admin : Full Control

Como você pode ver, o Windows adicionou automaticamente uma entrada extra Admin: Full Control à lista. Depois disso, poderei acessar Test sem nenhuma restrição. No entanto, o conjunto de permissões de segurança acima parece ser redundante para mim. Ele já incluiu Administrators: Full Control entry desde o início. Por que isso não foi suficiente?

Então, minha segunda pergunta é: por que o Windows precisa de uma entrada Admin: Full Control extra para finalmente dar a Admin esse "controle total".

Qual é a lógica formal por trás desse comportamento?

Alguns esclarecimentos

Note que esta pergunta não é sobre a minha conta Admin não ser "administrador todo-poderoso que pode fazer o que quiser". Não espero que minha conta Admin seja totalmente poderosa. Na verdade, no nível mais básico, não me preocupo com nenhum direito especial da minha conta Admin . É apenas alguma conta que pertence ao grupo alguns .

Minha pergunta é sobre os direitos de acesso ao sistema de arquivos concedidos por meio da associação ao grupo.

Considere outro exemplo. Vamos supor que criei um grupo de usuários aleatório chamado Ugly Ducklings . E adicionei usuários regulares Alice e Bob ao grupo Ugly Ducklings .

Em seguida, crio a pasta DucklingTest com as seguintes permissões 

Owner : Alice
Permissions:
  Ugly Ducklings : Full Control

Agora, se eu fizer login como Bob , de fato, terei controle total sobre a DucklingTest folder (!).

Por quê?

Meu Bob é um administrador todo-poderoso? Não. O meu Bob é privilegiado de alguma forma? Não. Tenho que "elevar" Bob de alguma forma para executar o acesso a DucklingTest ? Não.

Então, por que Bob tem controle total sobre a pasta DucklingTest ?

Fácil. Bob tem controle total sobre a pasta DucklingTest porque Bob é membro de Ugly Ducklings group e Ugly Ducklings group recebeu permissões de controle total sobre DucklingTest . Fim da história.

Por que a mesma lógica não se aplica a Admin e Administrators ? Admin é membro de Administrators group e Administrators group recebeu permissões de controle total sobre a pasta Test . O que está faltando aqui? Que tipo de "controle" extra o Windows está tentando impor neste caso, impondo restrições extras aos membros do grupo Administrators ?

    
por AnT 28.11.2015 / 22:42

1 resposta

1

Se eu clicar em "Continuar", poderei abrir a pasta Teste

O seguinte explica porque o Windows adiciona automaticamente uma entrada extra Admin: Full Control to the list .

Assume that User Account Control (UAC) is enabled, and you use Windows Explorer to access a folder for which you don’t have Read permissions.

Additionally, the folder is not marked by both the Hidden and System attributes. In this situation, Windows Explorer displays a dialog box that prompts you with the following:

"You don’t currently have permission to access this folder. Click Continue to permanently get access to this folder"

Note:

  • In Windows Vista and Windows Server 2008, the second sentence does not include the word “permanently”; it just says “Click Continue to get access to this folder.”

You then have the option to click Continue or Cancel. (Continue is selected by default.)

  • If you click Continue, UAC tries to obtain administrative rights on your behalf.

  • Depending on the UAC security settings that control the behavior of the UAC elevation prompt, and on whether you are a member of the Administrators group, you may be prompted for consent or for credentials.

  • Or, you may not be prompted at all. If UAC can obtain administrative rights, a background process will change the permissions on the folder, and on all its subfolders and files, to grant your user account access to them.

  • In Windows Vista and Windows Server 2008, the background process grants your user account Read and Execute permissions. In later versions of Windows, this process grants your user account Full Control.

This behavior is by design. But because the typical pattern with UAC elevation is to run an instance of the elevated program with administrative rights, users may expect that by clicking Continue, this will generate an elevated instance of Windows Explorer and not make permanent changes to file system permissions.

However, this expectation is not possible, as Windows Explorer’s design does not support the running of multiple process instances in different security contexts in an interactive user session.

If UAC is disabled, UAC elevation is not possible.

  • All programs that are run by members of the Administrators group, including Windows Explorer, always have administrative rights.

  • Therefore, administrators do not need to use elevation to access resources that require administrative rights.

For example, if a folder grants access only to the Administrators group and the System account, an administrator can browse it directly without being prompted to alter the folder’s permissions.

  • If the user does not have Read permissions, Windows Explorer displays the dialog box that was described earlier.

  • However, if UAC is disabled, Windows cannot request administrative credentials on behalf of the user through a UAC elevation prompt.

  • Therefore, Windows will not start a background process with administrative permissions in order to change file system permissions.

However, if the user clicks Continue and the folder’s current security descriptor grants the user permission to both read and change the object’s permissions, Windows will start the background process in the user’s current security context and modify the folder’s permissions to grant the user greater access, as described earlier.

The user may have permission to read and change the object’s permissions from object ownership or from the object’s access control list (ACL).

Origem Quando você clica em Continuar para acesso à pasta no Windows Explorer, sua conta de usuário é adicionada à ACL da pasta

Estou logado como Admin - um membro do grupo Administradores

and therefore I'm supposed to have full control of the folder. Why does Windows say that I don't currently have permissions?

A conta chamada Admin é não da conta Administrator incorporada (chamada Administrator ).

A conta interna Administrador não requer elevação de privilégio, enquanto usuários que você cria e coloca no grupo Administradores (presumindo que o UAC não tenha sido desativado).

Se você quiser fazer algo que precise de privilégios de Administrador usando uma conta criada (por exemplo, Admin ) e colocado no grupo Administradores, você terá que:

  • Confirme a elevação de privilégio quando solicitado ou

  • Executar como administrador clicando com o botão direito do mouse no aplicativo e selecionando a opção.

Um administrador não é o administrador

A user was trying to set the owner of a file to "Administrator." The user was unable to do this even though he was logged on as an administrator. Why won’t the system let an administrator change the owner of a file to Administrator? Don’t administrators have permission to take ownership of files?

...

So do you know the difference between Administrator and Administrators?

Administrator is an account.

  • If a permission or privilege is granted to Administrator, it can be done only by someone logged in with the Administrator account, that is, the account whose name defaults to Administrator (in English).

Administrators, on the other hand, is a group.

  • If you are a member of the Administrators group of a machine, you have been granted administrator privileges on that machine.

  • It is membership in the Administrators group that people refer to when they say things like "I’m an administrator on this machine."

  • The use of an indefinite article ("an") as opposed to a definite article ("the") highlights that the user is just one of many administrators.

Things are more ambiguous when people say something like "I’m running as administrator." This could mean either they are running as the Administrator account or that they are running with an account that is a member of the Administrators group.

Once you understand this difference, it becomes clear why the user I mentioned earlier was unable to reassign ownership of the file.

  • The user was logged on with an account that belongs to the Administrators group—but not with the Administrator account itself.

  • Let’s call the user’s account "Bob." The SeTakeOwnershipPrivilege privilege is assigned to members of the Administrators group, allowing members of this group to assign ownership to themselves. However, this privilege does not let members assign ownership to somebody else.

  • In this example, Bob could assign ownership of the file to Bob. But he is mistakenly trying to assign ownership to Administrator and since Bob is not the same as Administrator, the operation fails.

The user needs to log on with the Administrator account and take ownership of the files from there. In this case, the Administrator is assigning ownership to himself. (Alternatively, Bob could enable SeRestorePrivilege before setting the owner.

  • This method is somewhat unorthodox, however, since SeRestorePrivilege is intended to be used by backup restore programs.)

Fonte Um administrador não é o administrador

Outras leituras

por 28.11.2015 / 23:16

Tags

IP estático para o servidor local (VM) Como escolher o melhor dispositivo de áudio [fechado]