我们有一个顶级文件夹的select:
E:\Data1 E:\Data2 E:\Data3 权限很简单 – 默认的CREATOR OWNER , SYSTEM Full Control ,允许修改的一些安全组以及LOCAL SERVER\Administrator group Full Control 。 没有DENY,只有允许的权限。
我有一个用户帐户是上述本地pipe理员组的成员。 但是,当我访问该文件夹时,出现UAC提示,并表示需要添加权限才能访问该文件夹。 为此用户帐户添加一个明确的条目,现在我可以访问该文件夹。
但为什么? 我是一个完全控制的组织的成员,为什么会提示? 该文件夹设置为不从父文件夹inheritance权限,因此从父文件夹inheritance没有任何奇怪的权限。
UAC 旨在通过将应用程序软件限制为标准用户权限来提高Microsoft Windows的安全性 。 *
这意味着即使用户帐户在pipe理员组中,explorer.exe也只能以标准用户权限运行。 而作为标准用户,您不允许访问这些文件夹。
但是,当您尝试访问这些文件夹时,Windows会识别您的用户帐户是pipe理员组的成员。 它会询问您(通过UAC提示)是否要使用sysadmin的权限(通过pipe理员组成员身份)将您的用户帐户添加到ACL。
这样,explorer.exe永远不会获得标准的用户权限,从而提高了Microsoft Windows的安全性。
这是因为在默认情况下,UAC启用后,即使您是pipe理员组的成员,也可以在没有pipe理员权限的情况下访问文件夹。 另一种方法是以pipe理员身份运行explorer。
这在这里有所解释: http : //think-like-a-computer.com/2011/05/11/windows-access-denied-folder-administrator/
“当你以pipe理员的身份login时,你可以完全不受限制地访问所有的东西,UAC的目标是通过运行所有不需要pipe理员访问的任务来以更严格的方式来防止这种情况发生。 ;一个标准的用户令牌(受限)和一个pipe理员令牌(不受限制),所有的任务首先在受限的用户令牌下运行,只有当一个或多个特定的程序需要完全的pipe理权限时才会提示你以高级模式运行。然后使用pipe理员令牌启动此任务。“
我所做的是创build一个名为“文件服务器pipe理员”的非pipe理员级别组。 然后我给这个组完全访问文件夹的位置。 然后,我添加需要访问该组的相应用户。 由于该组是用户的非升级令牌的一部分,所以访问被授予这种方式。
在“我们如何防止在文件夹上拒绝访问”的标记链接? 在第一段解释它 – 只是忽略该链接禁用UAC:D的build议