在 Vista 之前的 NT 中,如果您创建了一个本地文件夹并且属于管理员组并授予该文件夹完全控制权,则您可以在本地访问该文件夹。现在在 Vista/7/2008 中,系统会提示“您想将自己永久添加到此文件夹吗?”,然后单击“继续”,系统会添加您的帐户。
如果你只有:
SYSTEM
Administrators
它会锁上文件夹并执行问题提示。
但是如果你有以下情况之一:
SYSTEM
Administrators
[another group to which you are a member and have access to the folder with] OR
Authenticated Users group [with read or more] OR
CREATOR OWNER [but it will just re-add your user account if you leave CREATOR OWNER]
它不会对文件夹进行挂锁,其功能正如您预期的那样。
为什么会这样?这对我来说似乎违反直觉。这似乎有可能使人们感到困惑并引入安全漏洞。是否有“最佳实践”,如果有,那是什么?
答案1
您忽略的是,由于 UAC,您大多数时间运行的软件都没有应用管理员令牌。因此,如果仅有 ACE 适用于系统和管理员,则除非您提升权限,否则您将无权访问。