Windows 폴더 권한, 관리자 및 UAC,이를 처리하는 "올바른"방법은 무엇입니까?


8

권한이있는 폴더가 있습니다.

  • 관리자 (그룹) : 전체
  • J. 블로그 : 전체.

Administrators 그룹의 구성원으로 로그인했습니다.

"권한이 없기 때문에"탐색기에서 폴더를 열 수 없습니다.

'관리자로 실행'하지 않는 한 정상적인 프로세스에는 UAC로 인해 관리자 권한 토큰이 없기 때문입니다. 그러나 Windows 탐색기에서는 그렇게 할 수 없습니다.

내 옵션은 다음과 같습니다.-소유권을 얻으려면 버튼을 클릭하십시오 (소유권을 포기하고, 큰 폴더에 오래 걸리고, 다른 관리자에게는 해결되지 않습니다)-모든 개별 관리자 계정을 모든 권한으로 추가하여 관리자 토큰없이 작동하십시오 (관리자) 혼란, 그룹의 요점은 무엇입니까)

이것은 정말 성가신 디자인입니다. 어떻게 작동합니까? 관리자가 관리자가 액세스 할 수있는 폴더에 들어가는 '올바른'방법은 무엇입니까?


1
해당 컴퓨터 로컬 관리자 로 로그인 한 경우에만 탐색기가 상승 된 것으로 생각 합니다.
john

2
이것이 ms가 서버에서 uac 사용에 대한 보안 권장 사항을 업데이트 한 이유 중 하나입니다. support.microsoft.com/kb/2526083
tony roth

너무 오래 "더 큰 좋은은"UAC 프롬프트와 퍼팅 후, 나에게 완전한 놀라운 토니, 마이크로 소프트가없는 말을 듣고, 할 수 없다 , 서버 측에서 어떤 더 좋은합니다. 인용구 : "" "모든 관리 사용자의 작업에 관리 권한이 필요하고 각 작업이 권한 상승 프롬프트를 트리거 할 수있는 경우 프롬프트는 생산성에 방해가됩니다. 이러한 맥락에서 이러한 프롬프트는 다음과 같은 개발을 장려하는 목표를 촉진하지는 않습니다. 표준 사용자 권한이 필요한 응용 프로그램 "" ". 훌륭한. UAC를 끄는 MS 승인! (특정한 상황에서는).
TessellatingHeckler

이 설명은 "관리자가 웹 브라우저, 전자 메일 클라이언트 또는 인스턴트 메시징 클라이언트와 같은 서버에서 위험한 응용 프로그램을 실행하거나 관리자가 Windows 7과 같은 클라이언트 운영 체제에서 수행해야하는 다른 작업을 수행하는 경우에도 UAC를 계속 활성화해야합니다." 이 모든 것의 열쇠입니다.
tony roth

높은 권한으로 탐색기를 실행할 수 있습니다. 먼저 : open Task Manager, go to details, kill the existing explorer running as your user.(참고 : 시작 메뉴 및 폴더 등이 사라짐) 작업 관리자에서 계속 : Click File, Start New Process, Type Explorer, and select the "Run task with administrative privileges" checkbox, and hit OK시작 메뉴가 다시 나타나고 이제 더 이상 높이 지 않아도 계속할 수 있습니다 관리 사용자 그룹을 통해서만 권한이있는 폴더 또는 파일에 액세스 할 때마다.
Ben Personick

답변:


4

해결책은 단순히 서버를 원격으로 관리하는 것입니다. 관리자 권한의 UAC 필터링은 로컬 시스템에 액세스 할 때만 적용됩니다.

Server Core가 출시되면서 Microsoft는 사람들이 서버에 직접 연결하는 대신 서버를 원격으로 관리하여 서버를 관리하도록 독려했습니다.

물론 네트워크가 매우 작은 경우에는 이것이 불가능할 수 있으므로 UAC를 비활성화하거나 파일 시스템 권한을 조정하여 관리자 대신 다른 그룹을 사용하여 권한을 부여하십시오.


예를 들어. \\ localhost \ c $ 관리자가 관리자로 볼 수 있습니까? 내가 전에 본 것을 생각해보십시오.
john

그러나 내 데스크탑에서 관리자로 로그인하지 않았기 때문에 전혀 해결책이 아닙니다. (같은 도메인에 로그인하지 않았으며 도메인간에 트러스트 관계가 없습니다).
TessellatingHeckler

로그인에 사용한 자격 증명을 사용하여 원격 시스템에 액세스 할 필요가 없습니다. 원격 시스템에 관리자로 연결하십시오. net use \\server\share /user:adminuser.
Zoredache

이것이 정답이지만, Microsoft 및 OEM 서버 제품이 너무 많아서 효과적으로 관리하거나 재구성하기 위해서는 데스크톱 상호 작용이 필요합니다. 원래 질문은 유효하며 "Windows"서버 데스크탑에 대한 솔루션이 필요합니다. Microsoft의 기본값이 모든 로컬 사용자에게 루트에서 모든 것을 읽고 작성할 수있는 액세스 권한을 부여하지 않으면이를 지원하지 않는 것이 이상합니다. @PaGeY의 답변에 제안 된 편집 내용에 많은 세부 정보를 추가 했으므로 현재 핵심 관리자가 불가능할 때 이것이 최선의 대안이라고 생각하기 때문에 그가 동의하기를 바랍니다.
Tony Wall

6

가장 좋은 방법은 해당 폴더의 관리자로 간주되는 구성원이 포함 된 새 그룹을 정의하는 것입니다. AD 도메인이있는 경우 AD에서이 그룹을 만든 다음 해당 그룹을 로컬 컴퓨터의 관리자 그룹에 추가하고 두 그룹을 관리하지 않아도됩니다.

참고 : 로컬로이 작업을 시도하는 경우 새 권한을 적용하려면 로그 오프했다가 다시 로그인해야합니다.


나는 이것을 더 빨리 고려했으면 좋겠다. 약간 성가 시지만 관리 오버 헤드가 적고 다른 것을 깨뜨리지 않을 것입니다.
TessellatingHeckler

1
이것이 우리가 문제를 해결 한 방법입니다. "Billing-Dept", "IT-Dept"등과 같은 그룹이 있습니다. "Domain Admins"보다 단일 폴더의 컨텍스트에서 훨씬 더 의미가 있습니다.
Dan

2

이 제한을 쉽게 해결할 수있는 두 가지 옵션이 있습니다.


1
첫 번째는이 문제를 해결하는 방법에 대한 실용적인 제안이지만 ,이 문제를 처리하는 방법에 대한 Microsoft의 의도 는 아닙니다 . 두 번째는 영리하고 흥미롭지 만 라이브 서버에서 그런 종류의 레지스트리를 수행하지는 않습니다.
TessellatingHeckler

0

드라이브 루트에서 "대화 형"이라는 기본 제공 주체에 읽기 / 실행 권한을 부여하십시오. 그런 다음 UAC를 변경할 필요가 없습니다.

대화식 드라이브 루트 권한 대화 상자.

이렇게하면 원격으로 또는 "로컬"(VM 콘솔 또는 실제 화면 및 키보드) 데스크톱에 로그인 한 사람들이 UAC를 활성화 한 상태에서도 파일을 탐색하고 프로그램을 실행할 수 있습니다.

예를 들어 기본 "사용자가 루트에서 모든 것을 읽고 만들 수 있습니다"권한을 제거하여 서버를 적절하게 잠글 수 있지만 효과적으로 로그온하고 파일을 찾아 보거나 관리자로서 설정을 변경하려는 위치로 이동할 수 없습니다.

보안 대화 상자를 열고 권한을 변경하려는 즉시 설정을 관리자로 변경하는 단추가 나타납니다. 따라서 두 세계의 장점을 모두 누릴 수 있습니다.

  1. 디스크의 구조 및 내용에 대한 "로컬"관리자 / 운영자 브라우징에는 제한이 없습니다.
  2. 비 관리자에 의한 변경으로부터 보호.

표준 권한과의 유일한 차이점은 로컬 "사용자"계정 만 모든 것을 읽을 수 있지만 Windows 콘솔에 대한 액세스 권한이 부여 된 사람 만 (즉, "물리적"(또는 가상) "대화식"서버 액세스를 의미하는 사람 만) 말하는 것은 아닙니다. 이는 누구에게나 부여되지 않습니다. 이러한 유형의 세션을 구별하는 더 좋은 방법이 없으면 터미널 서버에서 작동하지 않을 수 있습니다 (아는 경우 가장 권장되는 편집).

물론 첫 번째 조언은 가능할 때마다 서버 코어 / 원격 관리자를 사용하는 것입니다. 그러나 그렇지 않은 경우 서버가 기본 사용자 권한이 제거되었다는 일반적인 최종 영향을 피할 수 있습니다. 그리고 그것은 실제로 관리자의 잘못이 아니며, 특별한 복잡성없이 표준 도구로 작업을 수행하려고합니다 (파일 탐색기를 정상적으로 사용하십시오).

이 솔루션의 또 다른 긍정적 인 효과는 루트 드라이브 사용 권한을 잠그고 관리자가 데스크탑에 로그온 한 서버를 "사용 가능"하게 만들 수 있다는 것입니다. 상속을 비활성화하여 위에서 원하지 않는 사용 권한을 제거해야하는 경우가 종종 사라집니다. 모든 사용자가 기본적으로 공유 경로 아래에서 원하는 것을 읽고 작성할 수 있다는 사실은 아무도 "근본"원인을 다루고 싶지 않을 때 상속을 비활성화하는 일반적인 이유입니다. ;-)


더 나은 설명이 필요합니다.
Sven

데스크탑이 필요할 때이 답변이 상당히 좋기 때문에 자세한 내용으로 편집을 제안했습니다. @PaGeY가 동의하기를 바랍니다.
Tony Wall

@TonyWall 아마도 자신의 답변을 추가하는 것이 좋습니다.
Zoredache

0

"권한이 없기 때문에"탐색기에서 폴더를 열 수 없습니다.

'관리자로 실행'하지 않는 한 정상적인 프로세스에는 UAC로 인해 관리자 권한 토큰이 없기 때문입니다. 그러나 Windows 탐색기에서는 그렇게 할 수 없습니다.

예, 문제를 해결하기 위해 높은 권한으로 탐색기를 실행할 수 있습니다!

그렇게하려면 다음을 수행해야합니다.

  • 열다 Task Manager
    • Details탭으로 이동
    • Explorer.exe사용자로 실행중인 기존 " "를 종료하십시오.
      • 참고 : 시작 메뉴 및 폴더 등이 사라집니다. 이는 정상입니다
    • 딸깍 하는 소리 File
    • " Start New Process" 선택
      • "새 작업 만들기"대화 상자가 나타납니다.
    • 입력 Explorer.exe에서 "열기"드롭 다운을.
    • Checkbox" Run task with administrative privileges" 옆의 확인
    • 딸깍 하는 소리 OK
      • 고도 프롬프트가 나타나면를 클릭하십시오 accept.

짜잔!

시작 메뉴가 다시 나타나고 Windows 탐색기가 올라갑니다!

이제 탐색기를 상승 된 프로세스로 실행하므로 상승 할 필요가있는 모든 탐색기 동작이 매번 상승하지 않아도 작동합니다.

따라서 개별 작업마다 권한을 실행하지 않고도 폴더를 삭제하거나 폴더를 통과하거나 권한을 확인하거나 파일을 읽을 수 있습니다.


프롬프트없이 관리자 승인 모드를 사용하여 폴더 나 파일을 삭제하고 가끔 액세스하기 때문에이 문제가 발생했습니다. 이로 인해 사용자가 로컬 관리자 그룹의 구성원 인 경우 명시적인 권한을 갖고 od를 사용하는 경우 문제가 발생합니다. 탐색기가 그 문제를 해결했습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.