web-dev-qa-db-ja.com

管理者のアクセスは、Windows7のユーザープロファイルフォルダーで拒否されます

Windows 7(ドメイン内ではない)の「管理者」グループのメンバーとして、管理者権限(ctrl-shift)でエクスプローラーを起動します。システムディスク上のユーザープロファイルフォルダー(「c:\ users\murray」など)には、「管理者」が「フルコントロール」とともにリストされています。

ただし、それらを開こうとすると、「アクセスが拒否されました」というメッセージが表示されます。したがって、これらのフォルダーでは、グループのアクセス許可の「リストフォルダー/データの読み取り」権限を利用できませんが、ユーザーがデータを読み取れるようにするための新しい冗長なアクセス許可エントリを追加することしかできません。

ユーザーは、各メンバーのアクセス許可エントリを追加せずに、グループがアクセス許可を持っているフォルダーにアクセスできると思います。それが機能する方法は、時間の経過とともにいくつかの特別なフォルダ(この場合はプロファイルフォルダ)に多数の追加エントリをもたらすため、不適切だと思います。

そう; これらのフォルダに対する「管理者」メンバーの既存の「リストフォルダ/データの読み取り」権限をブロックするものと、このルールはどこに保存されますか?おそらく、「単純な」ファイル共有、ntfsジャンクションポイント、UACに関連しています、またはシステムポリシー?

2
SuperDuck

答え

最終的な答えは、[〜#〜] uac [〜#〜]による制御です。プロンプトを表示したくない場合は、オフにします[〜#〜] uac [〜#〜]。これは基本的に質問された「トグル」です。これはテストを通じて確認されています。 ACシールドアイコン は言うまでもなく、フォルダにアクセスしようとしたときに続行ボタン上にあるので、最初からそれを放棄する必要があります。

インストール/セットアップアプリケーションをクリックするか、管理者アクセスが必要なアプリケーションを開くと、UACプロンプトが開き、許可を求めます。ユーザーフォルダへのアクセスも同じです。アプリケーションをインストールするのと同じように、管理者権限が必要です。唯一の違いは、UAConを使用すると、アクセスしているユーザーがユーザーのプロファイルフォルダーのACLに追加されることです。これは、UACがオフになっている場合には当てはまりません。

MicrosoftがUACに変更した理由は、このドキュメントに記載されています: Windows Vistaでのユーザーアカウント制御の理解と構成 。 Vistaと書かれていることは知っていますが、UACに関しては同じです。すべてはUACの動作方法にかかっているようです。


修正...

これで問題が解決すると思います。現時点ではテストする能力がないため、確信が持てません。注意して、元に戻すことを忘れないでください。 管理者モードでコマンドプロンプトを開き、次のように入力します:Net User administrator /active:yes。必要な作業が終了したら、yesnoに変更して、このアクションを元に戻してください。これはセキュリティに役立ちます

唯一の修正は、[〜#〜] uac [〜#〜]をオフにすることです。

1
SgtOJ

多くの場合、NTFSアクセス許可を上書きする必要があります。特に、フォルダが以前のバージョンのWindows(XPなど)からのものである場合。それは本当に苦痛です... M $のような

0
zzeroo