http://support.microsoft.com/en-us/kb/950934描述了当pipe理员组的成员使用资源pipe理器导航到pipe理员组具有权限的文件夹时,将提示用户到“单击继续以永久访问此文件夹”。
当他们这样做时,资源pipe理器将更改文件夹的ACL以授予该文件夹的特定用户完全控制。 MS链接完全描述了需要这种方式的devise约束。
但是,它会破坏为该文件夹设置的权限,并且无法对权限进行集中pipe理。 例如,如果指定的用户稍后从pipe理员组中删除,该ACL项仍然存在,以允许他们访问该文件夹。
我不想禁用UAC(我实际上喜欢提升和非提升之间的区别),我很高兴使用替代工具以boost的方式导航和查看文件。
最终目的是运行MS链接中描述的其中一个解决方法(使用单独的文件导航器, 可以运行提升,或定义一个单独的组来控制对白名单文件夹的访问),但是,所有的时间,资源pipe理器继续闯入该文件夹的ACL随意,这使得无法确定这些解决方法需要应用的位置(缺less定期审核每个文件夹的ACL更改)。
如果我试图在资源pipe理器中运行非升级时访问受限制的文件夹,我只是希望有标准的“拒绝访问”消息。
是否有一个设置(每个盒子或通过GPO一次性)删除这个“永久访问”提示, 同时保留UAC的其他设施 ?
注:我完全理解为什么这个提示存在,它是什么意思,为什么行为是这样的(虽然我不一定同意devise决定)。 不过,我要指出的是,我并不想讨论与用户的工作实践有关的解决方法,也不是UAC或pipe理员组织成员的优点/缺陷。
不,那里没有。
唯一真正的解决scheme是使用Windows资源pipe理器以外的文件浏览function(当然也可以将其升级)。
问题来自explorer.exe最初是以非pipe理员访问令牌(为了显示GUI)而启动的,并且任何新的会话(甚至以pipe理员身份启动的那些会话)都会inheritance此有限的访问令牌行为。 有一种解决方法可以使用pipe理标记启动初始资源pipe理器实例,但是从GUI启动的任何内容都将inheritancepipe理访问标记,从而有效地使UAC无效。
您可以简单地以pipe理员身份运行CMD或PowerShell。
dir *.* /w /s
cmd结果
或以pipe理员身份在PowerShell中:
文件夹:
Get-ChildItem -Recurse -Directory | Measure-Object | %{$_.Count}
档案:
Get-ChildItem -Recurse -File | Measure-Object | %{$_.Count}
PS:Get-ChildItem不能处理超过260个字符的path