Права пользователя группы "Администраторы" в Windows 8.1
 

Доброго времени суток.
Прошу разъяснить один интересный момент. Рассказчик из меня никакой, поэтому заранее извиняюсь за запутанную манеру изложения.

На компьютере под управлением Windows 7 Pro имелись два аккаунта: к примеру, account1 и account2. account1 состоял в группе Администраторы, account2 - Пользователи.
Доступ на диск D для пользователей account1 - Полный доступ, для пользователей account2 - Чтение и выполнение.

После обновления (чистой установки) на данном компьютере Windows 8.1 Pro программы из под свежесозданного аккаунта account1, находящегося также в группе Администраторы, обладающего также полным доступом к диску, стали запускаться только от имени администратора, как и любые попытки записи/удаления - только с подтверждения администратора. В Win7, как можно догадаться, подтверждения не требовалось.

Ладно, стал экспериментировать: на диске D, на вкладке Безопасность, удалил группу Пользователи (остались только Администраторы и СИСТЕМА). После этого доступ к диску для account1 был полностью ограничен. Делаем вывод: account1 принадлежит группе Пользователи, хотя на самом деле он находится в группе Администраторы! Подтверждением этому также стало возвращение группы Пользователи во вкладку Безопасность и назначении им прав Полного доступа, после чего все программы, запускающиеся из под ccount1 и так или иначе использующие диск D, стали запускаться без админских прав, как и любые операции записи/удаления.

Вопрос: почему в Win8.1 я, являясь членом группы Администраторы, на самом деле обладаю правами Пользователя?

Откройте окно "управление" в свойствах компьютера, локальные пользователи и группы, покажите свойства обоих учеток на вкладке "членство в группах"

frogjab, это называется UAC - контроль учётных записей.
В Windows 7 он тоже есть, но там вы его отключили.

Так ли страшен контроль учётных записей (UAC)?

dislike, захожу, естественно, под Admin'ом


Petya V4sechkin, настроено все так же, как на Win7

frogjab, так он не совсем отключается.

Petya V4sechkin, так он и в вин7 не совсем отключается.

frogjab, если ссылка в посте 3 вас не убедила вас перестать играть в суперадмина, вы найдете необходимое в Настройки групповых политик контроля учетных записей и п.1 здесь

Я проверил на своей системе вашу комбинацию настроек прав доступа - у меня всё то же самое как и у вас, не зависимо от UAC (у меня он включен всегда). Очевидно, для NTFS-прав есть какой-то неизвестный нюанс, касающийся прав для группы "Администраторы". Я попробовал задать права в явном виде для УЗ "Администратор" отдельно (или admin в вашем случае), а не для группы, и в таком виде всё работает корректно. Собственно, решение только такое.

Это известный нюанс UAC (можете почитать описание).
Когда учётная запись из группы Администраторы входит в систему при включенном UAC, создаются два access token: пользовательский и административный. Пользовательский работает по умолчанию, административный - после одобрения запроса UAC.

Единственное исключение: встроенная учётная запись Администратор (которую не рекомендуется использовать).

Непонятно. В чем проявляется это исключение в данном случае? Сказано, что на неё не распространяется UAC. Ну а дальше-то что это значит? Что у неё один access token административный? Или пользовательский, который не переходит в административный, потому что UAC не дает одобрение? Если первое, то почему у меня с ней возникли такие же проблемы доступа как у ТС? Если второе... то такая УЗ была бы непригодна для администрирования, а это не так. Не сходится.

dislike, Огромное спасибо, не догадался сам! Проблема решена.

Этот ответ я и хотел получить, собственно, данный нюанс распространяется на win8 и выше, я правильно понимаю?

Да.
Значит, у вас включена политика FilterAdministratorToken, о которой также упоминается в статье (она уравнивает встроенного Администратора с прочими).

Я её не включал, поскольку нафиг не нужно. Это может означать лишь то, что данные статьи устарели и МС сами в какой-то момент приравняли Админа с прочими.

Проверил политику, из трех параметров только 2 соответствуют указанным значениям, третий параметр ConsentPromptBehaviorAdmin равен 5 вместо 0. И я абсолютно точно ничего не менял сам.

На Windows Vista и выше.

Покажите содержимое раздела реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies

Ну вот же.
По умолчанию 0.

По какому умолчанию? Я уже говорил

?

Это лицензионная windows 10, если что, установлена неделю назад методом обновления с лицензионной же 8.1.

dislike,

Вам уже впрямую говорят изменить в разделе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

значение параметра FilterAdministratorToken на 0

Установил вирт машину с Win7. Абсолютно все те же настройки.

Зачем мне это делать? Меня лично всё устраивает. Мы тут вообще о другом говорим. О том, что МС изменила политики по-умолчанию.

Можете установить чистую систему (на виртуальную машину, например) и убедиться в том, что параметр FilterAdministratorToken = 0 по умолчанию.
Что на скриншоте происходит?

Какое значение параметра EnableLUA в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Я уверен, что моя система и без того достаточно чистая. На неё не ставилось ничего, что могло бы вмешиваться в политики (ну не пакет же с кодеками это сделал, да?) и не ставились никакие эксперименты. Только обновления от МС регулярно приходили. Вин 8.1 работала всего несколько месяцев, прежде чем была обновлена до 10, и не могла за такое время убиться.

Petya V4sechkin, на скриншоте я пытаюсь создать папку в корне диска D, что вин7 позволяет мне сделать без подтверждения; вин8 же при прочих равных требует подтверждения администратора
В вин7 = 0, вин8 = 1
получается, что в вин8 по умолчанию нижнее положение ползунка (не уведомлять никогда) не отключает UAC, а в вин7 - отключает?

Да, в Windows 8 и выше при задании EnableLUA = 0 перестают работать приложения Metro, поэтому в интерфейсе полное отключение не предусмотрено.

Но я-то имел в виду чистую установку.

А при обновлении тоже есть нюанс: если в предыдущей системе вы работали под встроенным админом и других не было, то FilterAdministratorToken включится автоматически.
Подробнее здесь
Что происходит со встроенным администратором при обновлении до Windows 10