Permissões de pasta do Windows, Administradores e UAC, qual é a maneira “certa” de lidar com isso?

A solução é simplesmente gerenciar o servidor remotamente. A filtragem UAC dos privilégios de administrador só se aplica quando você está acessando o sistema local.

Com o lançamento do Server Core, a Microsoft tem encorajado strongmente as pessoas a administrarem remotamente os servidores, em vez de se conectarem diretamente a eles para gerenciá-los.

É claro que se você tiver uma rede realmente pequena, isso pode não ser viável, portanto, desabilitar o UAC é bom ou ajustar as permissões do sistema de arquivos para que outro grupo seja usado em vez de administradores concederem permissões.

A melhor maneira é definir um novo grupo contendo membros que você considera serem administradores dessa pasta. Se você tiver um domínio do AD, poderá criar esse grupo no AD e adicioná-lo ao grupo Administradores (da máquina local) e evitar a administração de dois grupos.

Observação: se você estiver tentando fazer isso localmente, lembre-se de fazer logoff e voltar novamente para que as novas permissões entrem em vigor.

Existem duas opções para contornar esta limitação:

• Use um gerenciador de arquivos de sua escolha (comandante total, por exemplo) e execute-o como administrador (preferencial)
• Desative a restrição do UAC do explorador: link

Conceder permissão de leitura / execução na raiz da unidade, o principal incorporado chamado "Interativo". Então, nenhuma alteração no UAC é necessária.

Dessaforma,aspessoasquefizeremloginnaáreadetrabalhoremotamenteou"localmente" (console da VM ou tela física e teclado) ainda poderão procurar arquivos e executar programas, mesmo com o UAC ativado.

Por exemplo, você pode remover a permissão padrão "Os usuários podem ler e criar tudo da raiz" para bloquear o servidor de maneira sensata, mas evite a incapacidade de efetuar logon, navegar pelos arquivos e navegar para onde você deseja alterar as configurações administrador.

Assim que você abrir a caixa de diálogo de segurança e quiser alterar as permissões, um botão será exibido para alterar as configurações como administrador. Então você tem o melhor dos dois mundos:

1. Nenhuma restrição para navegação "local" por administradores / operadores da estrutura e conteúdo dos discos.
2. Proteção contra alterações de não administradores.

A única diferença para as permissões padrão, é que não estamos dizendo que apenas contas "Usuários" locais podem ler tudo, mas apenas pessoas concederam acesso ao console do Windows, ou seja, logicamente significa "físico" (ou virtual) "interativo "acesso ao servidor, que não é concedido apenas a ninguém. Isso pode não funcionar para servidores de terminal, a menos que exista uma maneira melhor de distinguir entre esses tipos de sessões (sugira edit se você souber disso).

É claro que o primeiro conselho é usar o núcleo do servidor / administração remota sempre que possível. Mas quando isso não acontece, isso ajuda a evitar o efeito final comum de um servidor em que as permissões de usuários padrão são removidas, com dezenas de permissões de conta de usuário pessoal aplicadas em todo o lugar. E não é realmente culpa do administrador, eles estão apenas tentando fazer seu trabalho com ferramentas padrão sem qualquer complexidade especial (basta usar o File Explorer normalmente).

Outro efeito positivo dessa solução é poder bloquear as permissões da unidade raiz e ainda ter o servidor "utilizável" para o administrador conectado à área de trabalho, a necessidade de desativar a herança para remover as permissões indesejadas de cima com freqüência desaparece. O fato de que todos os usuários podem ler e criar o que quiserem abaixo do seu caminho compartilhado por padrão é um motivo comum para desabilitar a herança quando ninguém quer lidar com a causa "raiz"; -)