Всем привет!
Помогите разобраться пожалуйста.
Установил Windows 10 pro. При установке создался пользователь с группой "Администраторы".
Установил "Far Manager 3 x64" с указанием хранения всех настроек в папке самой программы "C:\Program Files\Far Manager", т.е. по сути сделав Portable.
Все прекрасно работает, если запустить от имени администратора.
А вот с командой "Открыть" нет доступа. Но почему, ведь пользователь из группы Администраторы?
В разрешениях все есть.
http://forum.oszone.net/attachment.php?attachmentid=144360&stc=1&d=1489934449
З.Ы. Far Manager - это как пример. Есть еще куча программ, которые хранят настройки и временные файлы в своей же папке.

ndvhini,

Администратор или пользователь? (http://www.outsidethebox.ms/10034/#admin_or_user)
А дальше мы входим в систему с этой учетной записью и начинаем работу. И административные задачи приходится выполнять самостоятельно, поскольку дома нет вездесущего сисадмина, как на работе. Конечно, можно создать учетную запись с обычными правами и работать с ней, но Windows устроена так, что удобнее постоянно иметь права администратора. Этот комфорт в конечном итоге оказывается решающим фактором для большинства пользователей. Контроль учетных записей как раз и предлагает компромисс между работой обычным пользователем и неограниченным администратором.

Когда UAC работает, для получения полных прав необходимо запускать программу от имени администратора, даже если вы работаете с административной учетной записью.

Казбек, UAC в положении "Никогда не уведомлять". Получается, этого недостаточно?

ndvhini, поднимите UAC на рекомендуемый уровень - все будет работать.

Установил "Far Manager 3 x64" с указанием хранения всех настроек в папке самой программы "C:\Program Files\Far Manager", т.е. по сути сделав Portable. »
Но зачем? Данные программ должны храниться в appdata

Получается, этого недостаточно? »
да, бывает что этого недостаточно. Смотри права на папку. может быть разрешен юзеру и одмину "запуск и выполнение программ", но не "запись данных". Перенеси папку с Фаром в другое место, D:\Myprogs\Far3 и будет работать.
Это такая "защита от дурака" у M$, но вреда как обычно, она принесла больше чем пользы. Кому нада, тот это все прекрасно знает и обходит, а обычному юзеру, который нешаред - от этого одни неприятности и ступор с возгласом: какогахера!!!1

Данные программ должны храниться в appdata »
Чёйта?:! Где хочешь, там и могут лежать, главно чтоб прога это понимала, т.е. её кодер сделал возм. загрузки "профиля" из любого пути. Все остальное про "долженствования" это мантры и рекомендации. не более.

Установка ПО в Program Files - это не защита от дурака, а граница защищенной зоны. Именно потому, что туда писать могут только администраторы. А советы типа
Перенеси папку с Фаром в другое место, D:\Myprogs\Far3 и будет работать. »
как раз для дурака. Потому что права там настраивать (http://www.outsidethebox.ms/17670/) никто не будет (тем более, если выносит из Program Files). И зловред заменить исполняемый файл или библиотеки может с обычными правами. Поэтому дураку остается надеяться, что он никому не нужен.

Чёйта?:! Где хочешь, там и могут лежать, главно чтоб прога это понимала, т.е. её кодер сделал возм. загрузки "профиля" из любого пути. Все остальное про "долженствования" это мантры и рекомендации. не более. »
Не где хочешь, а где есть права на запись у обычного пользователя, но не у администратора. Это не мантры, но рекомендации, да - по обеспечению безопасной среды, для начинающих...

Но зачем? Данные программ должны храниться в appdata »
Вот еще Behold TV (программа для ТВ-тюнера), даже версию скажу: 5.28 (ну т.е. свежак!) - так вот также выдает сообщение на попытки что-то изменить в настройках: "Невозможно сохранить настройки! Доступ запрещен." Ну вот так уж он ее написали... Так уж сделали...
Вопрос не в том, что и где должно храниться, вопрос в том, почему нет доступа, хотя в разрешениях в безопасности есть!

да, бывает что этого недостаточно. Смотри права на папку.
Так есть же права. В прикреплении.

Я просто не пойму, мне что, все от имени администратора теперь запускать?

почему нет доступа, хотя в разрешениях в безопасности есть! все от имени администратора теперь запускать?»
Устанавливать нужно от имени администратора - установщик пропишет всё верно и выдаст соответствующие права для программ. Получится что-то типа такого:
http://i.piccy.info/i9/33113f575048b9f68ab2bfb85e546eab/1489985407/10397/1103981/Snymok_240.jpg (http://piccy.info/view3/10976245/d7c42d2e59d8d14f0917d3100ead0a1d/)http://i.piccy.info/a3/2017-03-20-04-50/i9-10976245/240x170-r/i.gif (http://i.piccy.info/a3c/2017-03-20-04-50/i9-10976245/240x170-r)
Для программ с повышенными требованиями к системе на их ярлыках будет изображён щит, при запуске будет запрос UAC. Есть некоторый софт типа самлабовской сборки Total Commander, который устанавливается без "щита", но при работе выдаёт запросы админских прав или же свои настройки не сохраняет. Для таких программ в свойствах ярлыка нужно вручную задавать "запускать от имени администратора". Такие условия работы Винды и софта, начиная с 8-ки. В 7-ке "лечилось" переходом на "супер админа".

В 7-ке "лечилось" переходом на "супер админа". »
Не могу с вами согласиться. В 7-ке достаточно было состоять в группе Администраторы и UAC в положении "Никогда не уведомлять".

Я просто не пойму, мне что, все от имени администратора теперь запускать? »
Не все, а только неграмотно установленное вами ПО

Но это крайний случай, потому что при включенном UAC работает виртуализация http://www.outsidethebox.ms/10034/#virtual и запись перенаправляется в профиль, если ПО не совсем тупое (которое можно ставить в профиль со всеми вытекающими ослаблениями безопасности).

Но вы же UAC "выключили", а теперь мечетесь в решении проблемы, которую сами себе создали.

В 7-ке достаточно было состоять в группе Администраторы и UAC в положении "Никогда не уведомлять". »
А в 8 и новее - нет http://forum.oszone.net/showthread.php?&t=316097

Вот еще Behold TV (программа для ТВ-тюнера), даже версию скажу: 5.28 (ну т.е. свежак!) - так вот также выдает сообщение на попытки что-то изменить в настройках: "Невозможно сохранить настройки! Доступ запрещен." Ну вот так уж он ее написали... Так уж сделали... »
Не надо заламывать руки в форумах. Надо сообщать разработчикам, что они 9 лет живут в пещере. Только сначала надо самому из нее выбраться...

Установил "Far Manager 3 x64" с указанием хранения всех настроек в папке самой программы "C:\Program Files\Far Manager", т.е. по сути сделав Portable.
Все прекрасно работает, если запустить от имени администратора. »

А вот с командой "Открыть" нет доступа. »
icacls "C:\Program Files\Far Manager\Far.exe.ini" /grant %UserName%:F
icacls "C:\Program Files\Far Manager\Profile" /grant %UserName%:F /T
или
icacls "C:\Program Files\Far Manager" /grant %UserName%:F /T

ведь пользователь из группы Администраторы? »Это ничего не значит.
В целом сделано в целях безопасности. Также см. здесь (http://forum.oszone.net/post-2665333.html#post2665333) и здесь (http://forum.oszone.net/post-2714314.html).
Если пользователь захочет - сделает по своему. Отсюда следует, что: вся безопасность - это всего лишь формальность.

Вот еще Behold TV (программа для ТВ-тюнера) »
"C:\Program Files\BeholdTV\BhConfig.exe"
Вы разве не заметили (http://i2.imageban.ru/out/2017/03/20/e7d5358ccee80b0d256dc14f8b50c6ff.png)?

так вот также выдает сообщение на попытки что-то изменить в настройках »
Аналогично:
icacls "C:\Program Files\BeholdTV" /grant %UserName%:F /T


Т.е в обоих случаях нужно задать права для текущего пользователя (icacls "C:\Program Files\Far Manager\Far.exe.ini" /grant %UserName%:F) или установить привилегия для группы "Пользователи (icacls "C:\Program Files\Far Manager\Far.exe.ini" /grant Пользователи:F)", если необходимо чтоб программа беспрепятственно записывала параметры без необходимости выбора "Запуск от имени администратора".


Также для BeholdTV можно выбрать расположение настроек:
http://i4.imageban.ru/thumbs/2017.03.20/5dca6d4bcd56a7d4ebf8473fe3fb033e.png (http://i4.imageban.ru/out/2017/03/20/5dca6d4bcd56a7d4ebf8473fe3fb033e.png)

http://i1.imageban.ru/thumbs/2017.03.20/a3341432b860270a061bf97494cfb8e3.png (http://i1.imageban.ru/out/2017/03/20/a3341432b860270a061bf97494cfb8e3.png) http://i3.imageban.ru/thumbs/2017.03.20/73a9842c21b9ddedd2b545ae0e9271ae.png (http://i3.imageban.ru/out/2017/03/20/73a9842c21b9ddedd2b545ae0e9271ae.png)

Я просто не пойму, мне что, все от имени администратора теперь запускать? »Зависит не только от системы, но и от программы (как в данном (http://i2.imageban.ru/out/2017/03/20/e7d5358ccee80b0d256dc14f8b50c6ff.png) случае).

Я просто не пойму, мне что, все от имени администратора теперь запускать? »
Ты действительно не понимаешь. Ну поставил ты его от имени одмина, но запускаешь то ты его из-под юзера. Твой Администратор это не тот Администратор, винда тебя и другие программы дурит.
Far это файловый манагер и ему нужен полный доступ к дискам и + ты ему сказал настройки в себя писать. А винда его рубит, не давая писать к себе, ибо в %PROGRAMFILES% для папок установлены и наследуются права... долго объяснять. Короче, не хочешь переносить папку с Far3 в другое место - убери у нее наследование прав и поставь своему юзеру "Администратору" полные права на эту папку и ее подпапки и заработает.

На деле FAR нормально работает из коробки, если установлен в Program Files из MSI или путем распаковки архива при стандартном и нижнем уровне UAC. Потому что его стандартное поведение - хранение пользовательских данных в %appdata%\Far Manager. Поэтому проблемы топикстартер себе создает сам - пытается сделать портативную версию с хранением настроек прямо в Program Files. Никакого смысла в этом нет (ибо для такой цели FAR можно установить в профиль), а следовательно нет смысла и в советах менять права на Program Files. Если пользователь захочет - сделает по своему. Отсюда следует, что: вся безопасность - это всего лишь формальность. »
Нет, отсюда следует, что безопасность - это процесс. И работает он в обе стороны - ослабление и укрепление безопасности, в зависимости от квалификации пользователя или советчиков, к которым он в итоге прислушивается.

Поэтому проблемы топикстартер себе создает сам - пытается сделать портативную версию с хранением настроек прямо в Program Files. Никакого смысла в этом нет (ибо для такой цели FAR можно установить в профиль), а следовательно нет смысла и в советах менять права на Program Files. »
Во, точно так.

только не на %PROGRAMFILES% а на саму папку с Far... не важно, главно что изюму действительно нет.

Я думаю, как показывают два один
После прочтения я понял разницу

а следовательно нет смысла и в советах менять права на Program Files. »Не увидел, где "представляется пример/совет" смены прав на каталог Program Files. С каталогом "Program Files" не рекомендуется и ненужно производить какие-либо действия - в этом нет острой необходимости.

Ранее было предложено сменить права на интересующую папку, как в данном случае "Far Manager" и "BeholdTV". Т.е у папок "Far Manager (Кстати, например в случае с "Far Manager" - нет необходимости менять права даже у каталога "Far Manager", поскольку смены прав у подкаталога "Profile" и файла "Far.exe.ini" - достаточно. Смотрите внимательно пример выше.)" и "BeholdTV" изменить права - ничего предосудительного в этом нет.
При деинсталляции программы (каталогу которой были изменены права), затем новой установки; удаление каталога программы (каталог которой был помещён путём копирования), затем копирование одноимённого каталога программы; либо внутри каталога "Program Files" переименование каталога программы (которому были изменены права) с имение "А" в "B", затем создание нового каталога задавая тоже имя "А" как у бывшего предыдущего каталога, затем скопировав содержимое из переименованного каталога "B" в "A" - приведёт к правам по умолчанию.

К тому же ни для кого не секрет уже давным давно:
Интересующие пользователи ознакомятся с Управление доступом (https://technet.microsoft.com/ru-ru/library/cc770749%28v=ws.11%29.aspx).

В Управление доступом (https://technet.microsoft.com/ru-ru/library/cc770749%28v=ws.11%29.aspx) рассказывается:
Смена владельца файла или папки (https://technet.microsoft.com/ru-ru/library/cc753659%28v=ws.11%29.aspx)
Задание, просмотр, изменение или удаление разрешений для файлов и папок (https://technet.microsoft.com/ru-ru/library/cc754344%28v=ws.11%29.aspx)
Разрешения на файлы и папки (https://technet.microsoft.com/ru-ru/library/cc732880%28v=ws.11%29.aspx)

В командной строке также есть справка:
CACLS /?
ICACLS /?
TAKEOWN /?

Далее:
Изменяем доступ к файлам, папкам, разделам реестра в Windows (https://safezone.cc/threads/izmenjaem-dostup-k-fajlam-papkam-razdelam-reestra-v-windows.18185/)
Как получить доступ к файлам, папкам, разделам реестра в Windows 10, 8, 7 и Vista (http://www.oszone.net/7836/)
в 7 винде не могу изменить папки системы, хотя в статусе администратора (http://forum.3dnews.ru/showthread.php?t=109477)

- Зачем советы предоставляются в открытом месте? Они могут навредить.

Поэтому проблемы топикстартер себе создает сам »Смею предположить, что пользователь специально преследовал цель для удобства.
Нашёл с помощью поиска решение или догадался переименовать файл Far.exe.example.ini в Far.exe.ini, раскомментировать параметры: UseSystemProfiles и UserProfileDir; в UseSystemProfiles поменять значение на 0.
Но что помешало продолжить человеку поиск - это загадка.

P.S Доводить безопасность до крайности - это паранойя.
Безопасности нет - пользователи Windows все "под колпаком" у Microsoft.

Не увидел, где "представляется пример/совет" смены прав на каталог Program Files. »
Предлагается менять внутри этой папки, не занудствуйте.
Смею предположить, что пользователь специально преследовал цель для удобства. »
А завтра он для удобства будет файлы из Windows удалять. Вы тоже ему такую портянку про права выкатите? Вопрос риторический.

Доводить безопасность до крайности - это паранойя.
Безопасности нет - пользователи Windows все "под колпаком" у Microsoft. »
Никакой крайности в данном случае нет.

Закрываю. Если у ТС есть вопросы по теме, пусть озвучит их в ПМ - приму решение.