不明白为什么我需要提升令牌才能访问具有完全访问权限的文件夹

不明白为什么我需要提升令牌才能访问具有完全访问权限的文件夹

我搜索了这个问题,但找到的都是常见的“我是管理员,但需要提升权限”这类问题。这个问题不太一样。

我在文件服务器(2008 r2 版,在 2012 版上设置时也遇到同样的问题)上有一个 D 盘,里面有一个共享给用户的文件夹。除了只有特定组才能访问的几个文件夹外,每个人都可以通过网络访问整个共享驱动器。

我设置了这一点,以便这些特定的子文件夹停止继承权限,而只向相关组授予完全访问权限(与管理员无关)。我有一个域用户,它是备份操作员组的成员,也是域中每台计算机上的所有本地备份操作员组的成员(通过 GPO 设置)。此用户用于运行文件同步程序,以便每晚将文件共享同步到 NAS 进行备份。该软件也在相关机器上运行,而不是远程运行。

我授予用户交互登录的能力,以便我可以在该帐户下设置软件,并在为其创建计划任务之前测试备份是否有效。

最初的问题是软件无法访问更受保护的文件夹 - 据我所知,备份操作员无法做到这一点。因此,我改为将备份操作员组明确添加到具有完全访问权限的文件夹权限中 - 同样的错误。因此,我使用资源管理器查找有问题的文件夹 - 请注意,我没有以管理员身份运行,但尽管如此,Windows 还是要求我提升权限。

现在的问题是 - 非管理员帐户究竟为什么需要管理员令牌才能访问它具有完全权限的文件夹(通过其组备份操作员)?这不是在系统文件夹或系统驱动器中,它只是一个普通驱动器,位于一堆普通文件夹下,对它们有一些稍微严格的限制。

我真的不明白为什么在这种情况下甚至需要 UAC——它与管理员无关!

谢谢

编辑:

根据评论请求的文件夹权限:

C:\Windows\system32>icacls "d:\share\support\tech documents"
d:\share\support\tech documents
QUT\access tech docs:(OI)(CI)(F)
QUT\Domain Admins:(OI)(CI)(F)
BUILTIN\Backup Operators:(OI)(CI)(F)

Successfully processed 1 files; Failed processing 0 files


C:\Windows\system32>icacls "d:\share\support"
d:\share\support BUILTIN\Administrators:(F)
Everyone:(I)(OI)(CI)(M)
BUILTIN\Backup Operators:(I)(OI)(CI)(F)
QUT\Enterprise Admins:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(F)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
QUT\Domain Admins:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
BUILTIN\Users:(I)(OI)(CI)(RX)
BUILTIN\Users:(I)(CI)(S,AD)
BUILTIN\Users:(I)(CI)(S,WD)

Successfully processed 1 files; Failed processing 0 files

有问题的文件夹上方的文件夹只是继承权限,技术文档已禁用继承并设置了明确的权限。

答案1

一些快速实验证实了我最初的怀疑,其Backup Operators处理方式与相同Administrators,即组中的用户Backup Operators被视为管理员并获得分割令牌。这意味着您需要提升权限才能利用作为组成员的优势Backup Operators,就像您需要提升权限才能利用作为组成员的优势一样Administrators

这是有道理的,因为以备份操作员权限运行的恶意代码可以轻松利用该权限来获得无限制的访问权限。


附录:如果我没记错的话,当我第一次写这个答案时,Windows 无法很好地应对这种情况。这个问题现在已经解决了。如果你尝试提升权限,例如使用“以管理员身份运行”,系统会提示你输入管理员用户名和密码。但是,你现在可以提供你的自己的用户名和密码,而不是管理员密码。当然,新进程不会具有管理员权限,但它将要拥有您的帐户所赋予的任何特权和群组成员资格,即使这些特权和群组成员资格通常会被过滤掉。


MSDN 文章“教会您的应用程序与 Windows Vista 用户帐户控制完美配合”包括导致创建拆分令牌的所有组和权限的列表。

群组:

  • 内置管理员
  • 高级用户
  • 账户操作员
  • 服务器操作员
  • 打印机操作员
  • 备份操作员
  • RAS 服务器组
  • Windows NT 4.0 应用程序兼容组
  • 网络配置操作员
  • 域管理员
  • 域控制器
  • 证书发布者
  • 架构管理员
  • 企业管理员
  • 组策略管理员

特权:

  • 权限控制
  • 权限
  • 取得所有权权限
  • 备份权限
  • 恢复特权
  • 调试权限
  • 权限
  • 重新标记权限

注意:该列表是针对 Windows Vista 编写的。我不知道 Windows 的后续版本是否有任何变化。

相关内容