Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 8 и 8.1 (http://forum.oszone.net/forumdisplay.php?f=116)
-   -   [решено] Права пользователя группы "Администраторы" в Windows 8.1 (http://forum.oszone.net/showthread.php?t=316097)

frogjab 22-06-2016 00:08 2644685

Права пользователя группы "Администраторы" в Windows 8.1
 
Доброго времени суток.
Прошу разъяснить один интересный момент. Рассказчик из меня никакой, поэтому заранее извиняюсь за запутанную манеру изложения.

На компьютере под управлением Windows 7 Pro имелись два аккаунта: к примеру, account1 и account2. account1 состоял в группе Администраторы, account2 - Пользователи.
Доступ на диск D для пользователей account1 - Полный доступ, для пользователей account2 - Чтение и выполнение.

После обновления (чистой установки) на данном компьютере Windows 8.1 Pro программы из под свежесозданного аккаунта account1, находящегося также в группе Администраторы, обладающего также полным доступом к диску, стали запускаться только от имени администратора, как и любые попытки записи/удаления - только с подтверждения администратора. В Win7, как можно догадаться, подтверждения не требовалось.

Ладно, стал экспериментировать: на диске D, на вкладке Безопасность, удалил группу Пользователи (остались только Администраторы и СИСТЕМА). После этого доступ к диску для account1 был полностью ограничен. Делаем вывод: account1 принадлежит группе Пользователи, хотя на самом деле он находится в группе Администраторы! Подтверждением этому также стало возвращение группы Пользователи во вкладку Безопасность и назначении им прав Полного доступа, после чего все программы, запускающиеся из под ccount1 и так или иначе использующие диск D, стали запускаться без админских прав, как и любые операции записи/удаления.

Вопрос: почему в Win8.1 я, являясь членом группы Администраторы, на самом деле обладаю правами Пользователя?

dislike 22-06-2016 07:53 2644716

Откройте окно "управление" в свойствах компьютера, локальные пользователи и группы, покажите свойства обоих учеток на вкладке "членство в группах"

Petya V4sechkin 22-06-2016 08:59 2644729

frogjab, это называется UAC - контроль учётных записей.
В Windows 7 он тоже есть, но там вы его отключили.

Так ли страшен контроль учётных записей (UAC)?

frogjab 22-06-2016 13:54 2644823

dislike, захожу, естественно, под Admin'ом
Скрытый текст





Petya V4sechkin, настроено все так же, как на Win7
Скрытый текст

Petya V4sechkin 22-06-2016 16:37 2644866

frogjab, так он не совсем отключается.

frogjab 22-06-2016 16:53 2644876

Petya V4sechkin, так он и в вин7 не совсем отключается.
Скрытый текст

Vadikan 22-06-2016 16:53 2644877

frogjab, если ссылка в посте 3 вас не убедила вас перестать играть в суперадмина, вы найдете необходимое в Настройки групповых политик контроля учетных записей и п.1 здесь

dislike 22-06-2016 17:40 2644885

Цитата:

Цитата frogjab
dislike, захожу, естественно, под Admin'ом »

Я проверил на своей системе вашу комбинацию настроек прав доступа - у меня всё то же самое как и у вас, не зависимо от UAC (у меня он включен всегда). Очевидно, для NTFS-прав есть какой-то неизвестный нюанс, касающийся прав для группы "Администраторы". Я попробовал задать права в явном виде для УЗ "Администратор" отдельно (или admin в вашем случае), а не для группы, и в таком виде всё работает корректно. Собственно, решение только такое.

Petya V4sechkin 22-06-2016 18:11 2644892

Цитата:

Цитата dislike
Очевидно, для NTFS-прав есть какой-то неизвестный нюанс, касающийся прав для группы "Администраторы".

Это известный нюанс UAC (можете почитать описание).
Когда учётная запись из группы Администраторы входит в систему при включенном UAC, создаются два access token: пользовательский и административный. Пользовательский работает по умолчанию, административный - после одобрения запроса UAC.

Единственное исключение: встроенная учётная запись Администратор (которую не рекомендуется использовать).

dislike 22-06-2016 18:17 2644897

Цитата:

Цитата Petya V4sechkin
Единственное исключение: встроенная учётная запись Администратор (которую не рекомендуется использовать). »

Непонятно. В чем проявляется это исключение в данном случае? Сказано, что на неё не распространяется UAC. Ну а дальше-то что это значит? Что у неё один access token административный? Или пользовательский, который не переходит в административный, потому что UAC не дает одобрение? Если первое, то почему у меня с ней возникли такие же проблемы доступа как у ТС? Если второе... то такая УЗ была бы непригодна для администрирования, а это не так. Не сходится.

frogjab 22-06-2016 18:35 2644898

dislike,
Цитата:

Цитата dislike
Я попробовал задать права в явном виде для УЗ "Администратор" отдельно (или admin в вашем случае), а не для группы, и в таком виде всё работает корректно. Собственно, решение только такое. »

Огромное спасибо, не догадался сам! Проблема решена.

Цитата:

Цитата Petya V4sechkin
Это известный нюанс UAC (можете почитать описание).
Когда учётная запись из группы Администраторы входит в систему при включенном UAC, создаются два access token: пользовательский и административный. Пользовательский работает по умолчанию, административный - после одобрения запроса UAC. »

Этот ответ я и хотел получить, собственно, данный нюанс распространяется на win8 и выше, я правильно понимаю?

Petya V4sechkin 22-06-2016 18:43 2644899

Цитата:

Цитата dislike
Что у неё один access token административный?

Да.
Цитата:

Цитата dislike
Если первое, то почему у меня с ней возникли такие же проблемы доступа как у ТС?

Значит, у вас включена политика FilterAdministratorToken, о которой также упоминается в статье (она уравнивает встроенного Администратора с прочими).

dislike 22-06-2016 18:49 2644900

Цитата:

Цитата Petya V4sechkin
Значит, у вас включена политика »

Я её не включал, поскольку нафиг не нужно. Это может означать лишь то, что данные статьи устарели и МС сами в какой-то момент приравняли Админа с прочими.

Проверил политику, из трех параметров только 2 соответствуют указанным значениям, третий параметр ConsentPromptBehaviorAdmin равен 5 вместо 0. И я абсолютно точно ничего не менял сам.

Petya V4sechkin 22-06-2016 18:55 2644904

Цитата:

Цитата frogjab
данный нюанс распространяется на win8 и выше, я правильно понимаю?

На Windows Vista и выше.

Цитата:

Цитата dislike
Проверил политику

Покажите содержимое раздела реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies

dislike 22-06-2016 19:14 2644908

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoAddingComponents"=dword:00000001
"NoComponents"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Attachments]
"ScanWithAntiVirus"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection]
"AllowTelemetry"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"ForceActiveDesktopOn"=dword:00000000
"NoActiveDesktop"=dword:00000001
"NoActiveDesktopChanges"=dword:00000001
"NoRecentDocsHistory"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID]
"{553891B7-A0D5-4526-BE18-D3CE461D6310}"="2"
"{449D0D6E-2412-4E61-B68F-1CB625CD9E52}"="2"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\NonEnum]
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"=dword:00000020
"{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF}"=dword:40000021
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=dword:00000005
"ConsentPromptBehaviorUser"=dword:00000003
"DSCAutomationHostEnabled"=dword:00000002
"EnableCursorSuppression"=dword:00000001
"EnableInstallerDetection"=dword:00000001
"EnableLUA"=dword:00000001
"EnableSecureUIAPaths"=dword:00000001
"EnableUIADesktopToggle"=dword:00000000
"EnableVirtualization"=dword:00000001
"ValidateAdminCodeSignatures"=dword:00000000
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"scforceoption"=dword:00000000
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"FilterAdministratorToken"=dword:00000001
"PromptOnSecureDesktop"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard\ExceptionFormats]
"CF_BITMAP"=dword:00000002
"CF_DIB"=dword:00000008
"CF_DIBV5"=dword:00000011
"CF_OEMTEXT"=dword:00000007
"CF_PALETTE"=dword:00000009
"CF_TEXT"=dword:00000001
"CF_UNICODETEXT"=dword:0000000d


Petya V4sechkin 22-06-2016 19:25 2644911

Цитата:

Цитата dislike
"FilterAdministratorToken"=dword:00000001

Ну вот же.
По умолчанию 0.

dislike 22-06-2016 19:44 2644916

Цитата:

Цитата Petya V4sechkin
Ну вот же.
По умолчанию 0. »

По какому умолчанию? Я уже говорил

Цитата:

Цитата dislike
И я абсолютно точно ничего не менял сам. »

?

Это лицензионная windows 10, если что, установлена неделю назад методом обновления с лицензионной же 8.1.

ruslan... 22-06-2016 20:12 2644927

dislike,

Вам уже впрямую говорят изменить в разделе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

значение параметра FilterAdministratorToken на 0

frogjab 22-06-2016 20:28 2644929

Установил вирт машину с Win7. Абсолютно все те же настройки.
UAC не запрашивает разрешение.

dislike 22-06-2016 20:37 2644930

Цитата:

Цитата ruslan...
Вам уже впрямую говорят изменить в разделе реестра »

Зачем мне это делать? Меня лично всё устраивает. Мы тут вообще о другом говорим. О том, что МС изменила политики по-умолчанию.

Petya V4sechkin 22-06-2016 20:55 2644933

Цитата:

Цитата dislike
О том, что МС изменила политики по-умолчанию.

Можете установить чистую систему (на виртуальную машину, например) и убедиться в том, что параметр FilterAdministratorToken = 0 по умолчанию.
Цитата:

Цитата frogjab
Установил вирт машину с Win7. Абсолютно все те же настройки.

Что на скриншоте происходит?

Какое значение параметра EnableLUA в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

dislike 22-06-2016 21:12 2644936

Цитата:

Цитата Petya V4sechkin
Можете установить чистую систему »

Я уверен, что моя система и без того достаточно чистая. На неё не ставилось ничего, что могло бы вмешиваться в политики (ну не пакет же с кодеками это сделал, да?) и не ставились никакие эксперименты. Только обновления от МС регулярно приходили. Вин 8.1 работала всего несколько месяцев, прежде чем была обновлена до 10, и не могла за такое время убиться.

frogjab 22-06-2016 21:28 2644940

Petya V4sechkin, на скриншоте я пытаюсь создать папку в корне диска D, что вин7 позволяет мне сделать без подтверждения; вин8 же при прочих равных требует подтверждения администратора
Цитата:

Какое значение параметра EnableLUA в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
В вин7 = 0, вин8 = 1
получается, что в вин8 по умолчанию нижнее положение ползунка (не уведомлять никогда) не отключает UAC, а в вин7 - отключает?

Petya V4sechkin 22-06-2016 22:23 2644953

Цитата:

Цитата frogjab
получается, что в вин8 по умолчанию нижнее положение ползунка (не уведомлять никогда) не отключает UAC, а в вин7 - отключает?

Да, в Windows 8 и выше при задании EnableLUA = 0 перестают работать приложения Metro, поэтому в интерфейсе полное отключение не предусмотрено.

Цитата:

Цитата dislike
Вин 8.1 работала всего несколько месяцев, прежде чем была обновлена до 10

Но я-то имел в виду чистую установку.

А при обновлении тоже есть нюанс: если в предыдущей системе вы работали под встроенным админом и других не было, то FilterAdministratorToken включится автоматически.
Подробнее здесь
Что происходит со встроенным администратором при обновлении до Windows 10


Время: 01:04.

Время: 01:04.
© OSzone.net 2001-