Desabilitando o aviso para “Clique em Continuar para obter permanentemente acesso a esta pasta” (por exemplo, via GPO)

Navegue suas respostas
4

O link descreve a maneira como, quando um membro do grupo Administradores usa o Explorer para navegar até uma pasta na qual o grupo Administradores tenha permissão, o usuário será solicitado a "clicar em Continuar para obter permanentemente acesso a essa pasta".

Quando eles fazem isso, o Explorer altera a ACL da pasta para conceder a esse usuário Controle total à pasta. O link MS descreve exatamente a restrição de projeto que exige que seja assim.

No entanto, isso estraga a permissão definida para essa pasta e torna o gerenciamento central de permissões efetivamente impossível. Por exemplo, se o usuário nomeado for removido posteriormente do grupo Administradores, essa entrada da ACL continuará existindo para permitir o acesso a essa pasta.

Eu não estou olhando para desabilitar o UAC (eu realmente gosto da distinção entre elevado e não elevado), e estou feliz em usar ferramentas alternativas para navegar e visualizar arquivos de forma elevada.

A intenção final é executar uma das soluções alternativas descritas no link do MS (usando um navegador de arquivos separado que pode executar elevado ou definindo um grupo separado para controlar o acesso às pastas da lista de permissões) mas, o tempo todo, o Explorer continua a atacar as ACLs da pasta, à vontade, torna impossível identificar onde essas soluções alternativas precisam ser aplicadas (sem auditar regularmente todas as pastas para alterações na ACL).

Eu simplesmente preferiria ter a mensagem "acesso negado" padrão, se eu tentar acessar uma pasta restrita quando estiver executando não-elevada no Explorer.

Existe uma configuração (única em cada caixa ou via GPO) que remove o prompt "permanently get access", mantendo as outras facilidades do UAC ?

NB: Compreendo perfeitamente por que esse prompt existe, o que isso significa e por que o comportamento é como é (embora eu não necessariamente concorde com a decisão de design). No entanto, devo salientar que não estou procurando discutir soluções alternativas relacionadas à prática de trabalho de meus usuários, nem os méritos / armadilhas da associação ao grupo de Administradores ou UAC.

    
por jimbobmcgee 17.03.2015 / 18:17

4 respostas

5

Não, não há.

A única solução real é usar algo diferente do Windows Explorer para navegação de arquivos (e para executá-lo elevado, é claro).

O problema vem do fato de que explorer.exe é inicialmente iniciado com um token de acesso não administrador (para exibir a GUI) e quaisquer novas sessões, mesmo as iniciadas como administrador, herdam esse comportamento de token de acesso limitado . Há uma solução alternativa para iniciar essa instância inicial do Explorer com um token administrativo, mas qualquer coisa que você iniciar a partir da GUI herda o token de acesso administrativo, anulando efetivamente o UAC.

    
por 17.03.2015 / 18:26
1

TL; DR: Crie outro grupo em paralelo com o grupo Administradores local e adicione todos os que estiverem autorizados a ser administradores em ambos os grupos. Em seguida, permita que o segundo grupo esteja na ACL para todos os arquivos e pastas. Não faça logon ou opere como o usuário Administrador interno.

Este problema tem me incomodado por um bom tempo. É frustrante ter que me remover constantemente de ACLs de pasta (assim como de outros usuários que não se limparam) enquanto eu navego por várias estruturas de pastas. Então, eu li o artigo mencionado na pergunta. Isso me deu o entendimento que eu precisava para escrever essa resposta, e eu recomendo lê-la antes de continuar.

O ponto da pergunta original que me incomodou foi a afirmação dos autores de que "torna o gerenciamento central de permissões efetivamente impossível". Inicialmente, eu concordei com isso, mas depois de pensar sobre isso, lembrei-me do ponto principal do princípio de "Menor Privilégio" . Um dos propósitos da conta de Administrador local, bem como do grupo Administradores local, é violar esse Princípio. Em última análise, você não pode tirar nada desse usuário ou membros desse grupo. Sim, no termo imediato eles podem ser negados, mas eles ainda têm a capacidade (sem usar explorações) para derrotar a negação, concedendo-se acesso a qualquer recurso que foi negado. Assim, parece que a Microsoft acredita que sempre deve haver pelo menos um usuário que sempre possa acessar tudo, de alguma forma. Justo. Esse argumento está além do escopo desta resposta.

Então, como isso afeta o "gerenciamento central de permissões"? Parece que para estar em conformidade com o Princípio, você precisa fingir (eu explicarei a metade depois) que o Administrador local e o grupo de Administradores locais não existem. Lembre-se, eles não podem ter seus privilégios limitados, o que significa que eles violam o Princípio. É por isso que a senha dessa conta é mantida secretamente e a participação nesse grupo é tão cobiçada. Então, se você quiser o mesmo acesso efetivo, na raiz de cada unidade, você precisa ter seu próprio usuário ou grupo que tenha Controle Total, que seria (idealmente) herdado por todas as subpastas e arquivos.

Sabemos, no entanto, que na prática esse usuário ou grupo será rotineiramente negado o acesso, mas isso faz parte do ponto. O "Administrador" deve ser o árbitro final de quem tem ou não acesso a qualquer arquivo ou pasta. O "Administrador" é incorporado nesse usuário fixo. Sim, muitos de nós operamos como "Administrador" como uma questão de conveniência, mas quando fazemos isso, estamos violando o Princípio. Então, para lidar com isso, podemos convenientemente lembrar (esta é a metade da parte fingida) que o grupo Administradores existe e que podemos ser membros dele. Podemos conceder ao grupo (ou usuário) mencionado acima (que pode ser nós mesmos) acesso ao recurso (que deveria ter herdado a permissão em primeiro lugar) e não se preocupar com requisitos de conformidade ou segurança porque esse grupo (ou usuário) já autorização para esse recurso, porque eles já estão autorizados a agir como "Administrador".

Há uma pegadinha nisso, no entanto. Eu ainda não queria desistir da conveniência de fazer login como "Administrador", então adicionei esse usuário ao grupo - e ele ainda não funcionou. Esse usuário é um usuário fixo e é especial, e sem desabilitar o UAC, não há como remover essa qualidade "especial" dele. Mas esse é o ponto. A Microsoft está tentando nos direcionar mais para a conformidade com o Princípio. Ao adicionar meu usuário a ambos os grupos, consegui me conceder acesso ao recurso, permanecer em conformidade e seguro e evitar o diálogo irritante.

    
por 26.07.2018 / 20:05
1

Há, na verdade, uma forma segura de contornar esse prompt para usuários administrativos que estão conectados localmente.

  1. Abra as propriedades > Diálogo de segurança da pasta em questão para editar sua ACL.

  2. Em seguida, adicione a entidade de segurança INTERACTIVE e conceda a ela permissões para "Listar conteúdo da pasta", o que ativará automaticamente as seguintes permissões:

    • Atravessar pasta / executar arquivo
    • Listar pasta / ler dados
    • atributos de leitura
    • Ler atributos estendidos

O motivo pelo qual isso funciona é porque o Windows não está mais confiando em suas credenciais privilegiadas / de administrador para percorrer a estrutura de pastas e listar o conteúdo da pasta. Como "autenticar" como INTERACTIVE não precisa avaliar as credenciais privilegiadas para enumerar a pasta, ela não precisa chutar o prompt do UAC.

    
por 26.07.2018 / 20:56
0

Você pode simplesmente executar o CMD ou o PowerShell como administrador. 

dir *.* /w /s

resultado cmd

ou no PowerShell como administrador:

Pastas: 

Get-ChildItem -Recurse -Directory | Measure-Object | %{$_.Count}

Arquivos: 

Get-ChildItem -Recurse -File | Measure-Object | %{$_.Count}

PS: Get-ChildItem não está funcionando com caminhos maiores que 260 caracteres

    
por 03.10.2016 / 14:45

Tags

Instalando pacotes com dependências usando o fantoche mysqldump para o servidor sql [fechado]