WindowsエクスプローラーとUAC：昇格して実行

UACをオフにしたり、Windowsエクスプローラーシェル全体を昇格モードで実行したりするのは良い考えではないと思います。

代わりに、別のツールを使用してファイル管理を行うことを検討してください。 Explorerは、とにかく多くのファイルを真剣に処理するのに適したツールではないと思います。 2つのペインが並んでいるプログラムは、これにはるかに適しています。

そこには多くのエクスプローラー交換ツールがあり、一部は無料、一部は商用です。これらはすべて昇格して実行できるため、権限は問題ではなくなりました。 2つの異なるものを使用することもできます。 1つは通常の使用、もう1つは高度な管理用です。

また、それらの多くはポータブルで実行されるため、インストールする必要はなく、いくつかのファイルをコピーして実行するだけです。

特定のツールを推奨するのではなく、別の質問です

これは、UACが管理者として固有のアクセス権を持っているフォルダーのトラバーサルを中断する理由について調査するまで、私にとっても不満でした。解決策があります：

1. UACをオンのままにする
2. フォルダACLに、セキュリティプリンシパル「インタラクティブ」にフォルダを全探索してフォルダの内容を一覧表示する権限を与えるACEを追加します。

これをフォルダーACLに追加すると、管理者はUACプロンプトに悩まされることなくフォルダー構造を参照できます。

これは仕様によるもののようです。詳細については、このスレッドを参照してください。

http://social.technet.Microsoft.com/Forums/windows/en-US/1798a1a7-bd2e-4e42-8e98-0bc715e7f641/

そのスレッドのポスターAndre.Zieglerによると：

すでにお伝えしたように、Windows 7エクスプローラーはDCOMベースの起動方法[原文のまま]を使用しているため、昇格したWindowsエクスプローラーを実行できません。

1つの解決策は Explorer ++ フリーウェアファイルマネージャーを使用することです。 Explorer ++のタイトルバーに現在の特権レベルを表示するオプションがあるため、管理者特権で実行されているかどうかを簡単に確認できます。

もう1つの解決策は、.NETに基づくもう1つのNiceフリーウェアファイルマネージャである Nomad.NET を使用することです。

管理者特権のPowerShell ISEインスタンスを使用します。それが提供する[ファイル]ダイアログ自体は昇格されており、ディレクトリを走査することができます。

私はこの問題に遭遇し、サーバーでRDPを実行して、サーバーで何かをしました。

私にとっては、そうしないのです。自分のホームシステムのエクスプローラーからファイルにアクセスでき、フルアクセスができます。

\\ remote.com\c $制限なしで管理者として必要なものにアクセスできます。

残りの問題は、作業中にシステム間でファイルを転送することですが、ファイルは小さいです。私は気にしません。

-ラリー

この動作はUACのポイントの1つであると、何人かの人々が貢献しています。つまり、立ち止まって、これからやろうとしていることについて考えさせることです。すでに述べたように、この見解に対する1つの応答は、一度尋ねられることは問題ありませんが、すべて尋ねられるわけではないということです。シングル。時間。少し引き抜かれた手順の間にこれは、家の中のある部屋から別の部屋に移動するたびに家の鍵を使いたくないということに似ています。

しかし、OPの状況と通常のUACプロンプトの状況の意味的な違いを指摘したいと思います。「現在このフォルダーにアクセスする権限がありません」というプロンプトの付いたエクスプローラーメッセージは、標準のUACプロンプトと概念的には異なります。

通常のUAC要求を許可すると、プログラムが管理者特権で（つまり、Administratorsグループの資格情報を使用して）実行されることを許可します。この付与は、プログラムが終了すると終了します。唯一の持続的な効果は、プログラムが昇格中に行った可能性のあるものです。

表示する権限のないフォルダーを探索しようとしたときに表示されるエクスプローラープロンプトをOKにすると、昇格したものは何も実行されません。代わりに、ファイルシステムのアクセス許可（ACL）を変更して、自分のユーザーにフォルダーへのフルコントロールアクセスを許可します。付与されたアクセス許可は、探索に必要な読み取り/トラバースフォルダーのアクセス許可よりもはるかに広いだけでなく、エクスプローラーがフォルダーにアクセスしている間だけではなく、（誰かが明示的に削除するまで）基本的に永続的です。

プロンプトが実際にAdministratorsグループの資格情報を使用してエクスプローラーを実行することを意味している場合、それは別の問題であり、通常のUACプロンプトに非常に類似しています（これは、管理者権限を使用して権限を表示/編集するように求められた場合に発生するようです） Advanced Security Settingsフォーム）。もちろん、これは、Administratorsグループにファイルシステムのアクセス許可をバイパスするためのカルテブランチがないため、Administratorsが実際に必要なアクセス権を持っている場合にのみ機能します。これについての適切な説明は見つかりませんでしたが、最終的にはすべてのAdministratorsグループがデフォルトの「フルコントロールを許可する」であり、明示的な「拒否」権限を使用してファイルアクセスを拒否できるため、ファイルアクセスは保証されません。

余談ですが、この記事のアクセス許可をテストしているときに、オブジェクトの所有権を変更すると、OWNERビルトインプリンシパル（Windowsのバージョンに応じてさまざまな名前が付けられます）のACLエントリが変更されることがあります。通常の選択肢の1つではなく、「なし」に適用されること（たとえば、「このフォルダー」）。これは、所有者へのアクセスを拒否するACLで少なくとも2回発生しました。

他の1つの観察は、ファイルシステムの最低限の動作と、アクセス許可を変更するために使用されているUIから追加された装飾（この場合はWindowsエクスプローラーの[セキュリティの詳細設定]フォーム）を特定することが非常に難しいことです。 。たとえば、ある時点で、TAKEOWNコマンドラインツールは、（正しく）たまたま「所有権の取得」アクセス権を付与された非特権ユーザーがフォルダーの所有権を取得できるようにします。この。