группы пользователей и их права
 

День добрый.

Вопрос такой:
Нифига не понятно, как так получается, если в папке лежит зип, на папку даны права администраторам, и я, являясь пользователем входящим в группу админимстраторов, не могу раззиповать в папке архив?.. Добавляю непосредственно себя в листе доступа в папке, всё распаковывается. В чём отличие тогда назначение прав на группу, а непосредственно на юзера?...




где можно взять почитать (посоветуйте книги, ссылки) про группы пользователей в винде. непонятно просто какие права у какой группы, для чего какая группа, хочется всё подробно и... на русском

заранее спасибо..

Aналогичный вопрос уже задавался на форуме. Воспользуйтесь фильтрами по названию темы по права.



Результат

или доступ.

Результат

Хороший совет.
только вот я уже до вас искал и там нет того, что мне нужно.

Это читали:
Принцип работы "Контроля учетных записей пользователей" в Windows 7
Контроль учетных записей в Windows 7 и Windows Server 2008 R2
Как получить доступ к файлам, папкам, разделам реестра в Windows Vista и Windows 7

прочитали, ответа на вопрос там не содержится.
там соджержатся общие сведения, которые мне известны.

Ingolder, сделайте скриншот вкладки Безопасность данной папки при возникновении проблемы? В какие группы помимо администраторов входит проблемный пользователь?

Вот права админов в папке с нужным файлом:

В свойствах самого файла проверял, эти же права наследуются; так же пробовал рвать наследование и задавать вручную.


Нужный пользователь, залогиненный в винде, который пытается распаковать архив, член группы администраторов:


И вот что он получает, когда пытается распаковать:


Если же Указать его непосредственно:

то всё будет распаковываться без сучка и задоринки.

Данная ситуация относится не только к распаковыванию файлов, но и работе таких программ, которые вообще что-либо мало-мальски опасное делают - (например DC++ без непосредственных прав пользователя не будет ничего качать).

Непонятна логика. как это - в группу администраторов включён, группе дан полный доступ, а толку никакого...


И так же непонятно, какой и к чему доступ у каждой группы пользователей. и нигде тут в статьях я не нашёл этого...

Ingolder, UAC включен? Наблюдается ли проблема при выключенном UAC?

UAC включён. наличие этой проблемы при выключенном UAC не знаю. чуть позже попробую, выключу, напишу.
Но мне не хочется, чтобы отключение UAC входило в решение этой проблемы.

Ingolder, скажите, а есть ли насущная необходимость для записи пользователем данных в эту папку?

насущная необходимость есть в том, чтобы разобраться, как оно работает. Это самая нассущная.
По факту, такие права на все папки и файлы на всём жёстком диске. Ну да, не принципиально для большинства программ.. но проблема-то глобальная. Одна программа на работает, другая не распаковывает, третья не скачивает, четвёртая не запускается вообще... Ну, да, можно одним махом добавить моего пользователя, дать ему фулл контрол, да и дело в топку. Проблема в том, что я хочу разобраться в этом.

Это понятно. Напишите

С выключенным UAC достаточно фулл контрола на группу администраторов в папке, чтобы всё нормально работало и извлекалось.
с включенным UAC если только группе админов дан фулл контрол (все остальные отсутствуют), то даже в папку не зайдёшь... не то что там.. но винда не спрашивает повышения привилегий, она просто недаёт нормально работать.

Странно... При входе администратора в папку, на которую требуются полные права, должно появляться предложение зайти с правами администратора... У вас все это происходит на системном разделе? В какой конкретно папке?

И наконец, я вроде уже второй раз прошу вас подробно сформулировать задачу. Не то, чего вы пытаетесь добиться напролом, а общую картину.

да, прошу прощения, не точно выразился.
Если на папку даны права только группе администраторов, и UAC включён, то при попытке войти в неё он спросит разрешения администратора, и если его удовлетворить, то он естественно на всю папку добавит текущего пользователя с папаметрами фулл контрол, и соответственно всё будет работать. А вот если на папку даны права не только группе администраторов, но и например Users и Authenticated users, то в папку он зайдёт без проблем а вот распаковать (и пр.) он не сможет. В этом месте - непонятно - почему винда не даёт распаковать (и прочее.. ), если текущий пользователь входит в группу администраторов? (а не избавиться от проблемы, выключая uac, или задавая права на папку. Проблема в понимании происходящего, а не в неработоспособности программ)

P.s. кстати, проверял: если на папку даны права только группе администраторов, то встроенный локальный администратор там может распаковывать всё как надо и выполнять всё что угодно, а вот другие члены группы администраторов, как видите, нет...


Формулирую конкретнее задачу:
1) прошу вас всех, уважаемые форумчане, ответить на вопрос, выделенный выше жирным. Мне не понятен данный механизм; помогите пожалуйста мне его понять, как оно работает. Я как-бы предполагал, что если пользователь входит в какую-либо группу, то на него действуют правила этой группы. Про явные и неявные запреты рассказывать не нужно - в общем теория мне хорошо знакома. Я не понимаю конкретно взятый случай - он противоречийт моему пониманию.

2) а так же объяснить мне (дать ссылки, посоветовать литературу, итд) :
- где узнать, какие права\привилегии даны всем группам пользователей(и админов, итд.), которые находятся по умолчанию в виндовсе. Непонятно, группы есть разные и всякие, а конкретно что им разрешено и запрещено - не видно.

собственно, всё это я написал в первом сообщении. уж не знаю, как понятнее.
Спасибо :)




p.s. причём вот фигня то какая, если мой пользователь находится только в группе администраторов, и на папку дан фулл контрол этой группе, то он туда не попадёт (если не удовлетворит запрос винды, которая даст непосредственно на пользователя фулл контрол). А если на папку помимо группы администраторов добавить ещё и группу Users (в которую мой пользователь не входит (проверял!) ), то он в папку заходить БУДЕТ! ничего не понимаю, как это так оно васё получается?...

Получается, вас теория интересует - подход чисто научный :) Кратко - потому что группа администраторов еще не означает полных прав администраторов. Ок, я попробую объяснить подробнее :)

Забудьте на минуту о том, в какую группу входит учетная запись. Исходите лишь из того, есть ли у нее полные административные права (ПАП), т.е. пройден контроль учетных записей или нет.

Проводник всегда работает в контексте обычного пользователя. Когда вы открываете в проводнике папку, для доступа в которую нужны ПАП, ОС предлагает их подтвердить. Когда вы запускаете архиватор, он тоже запускается с обычными правами, но при распаковке, т.е. записи в папку, ничего не предлагается подтвердить. Чтобы распаковать в такую папку, нужно сразу запустить архиватор от имени администратора.

С другой стороны, если вы распакуете файл в папку в пределах своего профиля, а потом скопируете его в папку, для которой требуются ПАП, все будет ок - при копировании будет окно UAC.

У медали есть и третья сторона :) Это виртуализация папок. Если в папке, на которую нужны ПАП, находится некое приложение (написанное без учета UAC), то оно может "сломаться", если попытается сохранить какой-нибудь собственный файл (например, настройки) без достаточных прав. Чтобы этого не происходило, операция записи производится в виртуальное хранилище в профиле пользователя - т.е. приложение "думает", что все прошло нормально и отныне видит этот файл именно в виртуальном хранилище. Отличие от распаковки тут в том, что если вам отказано в доступе, вы всегда можете выбрать другую папку. А вот в приложении такая возможность может быть не предусмотрена.

Вот такую роль играет UAC в совместимости приложений.

Литература:
Контроль учетных записей в Windows 7 и Windows Server 2008 R2
Принцип работы "Контроля учетных записей пользователей" в Windows 7

Всё то , что вы рассказали, мне и так было ясно, и теперь это конечно стало ещё яснее, но всё-таки я не могу понять :разве не этим ли определяются права учётной записи? если не тем, в какую группу она входит, то тогда весь механизм групп просто теряет смысл. Вот в этом главный вопрос и загвоздка.



а на второй вопрос .. ответа не было :)

Извините, но я сомневаюсь в этом, исходя из задаваемых вами вопросов. Да, права определяются принадлежностью к группе, но при вкл. UAC пользовательские процессы и приложения работают с правами обычного пользователя, даже если пользователь входит в группу администраторы. Честно говоря, я не знаю, как это еще сформулировать более доступно, тем более что в двух указанных мной статьях это повторяется неоднократно, да и описано все очень подробно.

Я не знаю точного ответа на ваш вопрос применительно к 7. В библиотеке Microsoft Technet есть эта информация применительно к Server 2008, наверное. Сходу я ее не нашел, но она должна быть - так что поищите - groups, rights, Privileges - в этом ключе. Будет время, я посмотрю еще. Но это не имеет никакого отношения к вашей проблеме - вам нужно понять принцип работы UAC, который вам вроде как уже ясен :)

Vadikan, вы весьма чётко излагаетесь, видимо это я плохо доношу до вас свой вопрос.

повторяю:
Замечательно, но тогда получается, что при включённом UAC смысл технологии применения групп - теряется? :)


особенно теряется смысл при непонимании второго вопроса - какие группы позволяют работать пользователю , а какие - с правами "необычного". Вот и встаёт вопрос о группах...

:) спасибо за ваши ответы

Нет, конечно. UAC использует группы... Если вы запустите ком. строку с от имени администратора под обычным пользователем, UAC предложет ввести учетные данные администратора. Если под администратором, только подтвердить запрос. Система правильно определяет принадлежность учетной записи к группе безопасности.

Вопрос поставлен некорректно, ибо нет прав необычного. Есть права администратора. С ними позволяет работать группа Администраторы. Но до тех пор, пока вы не уясните, что если права администратора не требуются, администраторы выполняют свои задачи с правами обычного пользователя, вы не продвинетесь ни на йоту в понимании проблемы.

Права пользователя определяются принадлежностью к группе безопасности. Ок, еще раз. Есть два пользователя - А (гр. Пользователи) и Б - группа Администраторы. Оба пользователя пытаются скопировать файл с рабочего стола в Program Files, для записи в которую нужны полные права администратора.

UAC выключен:
Пользователь A получает сообщение "Доступ запрещен" - у него нет прав.
Пользователь Б копирует файл сразу/

UAC включен:
Пользователь А получает запрос UAC с предложением ввести административные учетные данные. Если их нет, операция не выполняется.
Пользователь Б получает запрос UAC на подтверждение операции, после чего копирует файл.

тоесть, весь косяк в том, что при включ. uac при извлечении из архива файлов, мы выполняем эту операцию от имени обычного пользователя (несмотря на то что он в группе админов), а покуда эта штука не автоматизирована (т.е. винда не спрашивает повышения привилегий при извлечении файлов, не производит повышение привилегий автоматически, да и к тому же - у нас нет кнопочки "извлечь с правами администратора"...) - просто у нас нет возможности сделать это с правами администратора? поэтому и извлечение недаётся. так?
т.е. ответ в том что в винде это неавтоматизировано? т.е. просто - сделано оно так, что сию операцию не проведёшь с повышенными привилегиями, потому что не предусмотрено варианта их повышения? запуск экзешников предусмотрен от админа, копирование предусмотрено, влезание в папку, где нет прав - тоже предусмотрено... но этом всё :)
так?

Да. Но это не косяк, так задумано.
Если вы запускаете извлечение из контекстного меню файла, то процесс архиватора запускается с правами обычного пользователя.

И не будет автоматизировано, ибо не нужно писать пользовательские файлы в системные папки. Для меня так и остается загадкой, зачем вам извлекать архив в папку, на которую требуются права администратора. Насущную необходимость вы не объяснили... Посему если "просто нужно", запускайте архиватор от имени администратора и будет вам счастье.

спасибо, вот теперь всё ясно.

Это не системная папка, это просто технический эксперимент в другой папке. Дабы познать смысл.


теперь, маленький оффтопик. Есть ли возможность прописать в реестре команду, чтобы запустить то или иное приложение с повышенными привилегиями? Ну, тыркаем правой кнопкой мыши на архив, а там чтобы было запустить от администратора (а то не здорово лезть и запускать сначала сам архиватор , а потом лезть в папку) ?

Да, через планировщик (4), например. Но повышение прав происходит до максимальных, доступных пользователю. Если обычный пользователь запустит с максимальными правами, он не станет администратором от этого. Если же админ - задание получит полные права. А вы говорите смысл групп теряется :)

А правда ли, что скрытая запись администратора имеет по умолчанию самые высокие права (в отличие от пользователя входящего в группу Администраторы)?

Railnolds, да.

Снижается ли уровень безопасности, если работать в пользователе с ограниченными правами при отключённом UAC?

Здесь http://www.oszone.net/9200/Windows_7_UAC такой сценарий не рассмотрен.
Зачем такое надо? Например

Уровень безопасности не меняется даже если работать администратором с отключенным UAC. Но увеличивается вероятность пропустить действие вредоносного ПО и меняется тяжесть последствий. Со включенным UAC тяжесть последствий для администраторов ограничивается правами обычного пользователя. Если у пользователя обычные права (не входит в гр. Администраторы), вредонос останется в их пределах, но опять же - теряется эффект предупреждений UAC о деятельности вредоноса.

Зачем это скрывать? Да и как это скрыть, не очень понятно. Ну и что, если он узнает, что ограничен? Можно включить и вообще отклонять с собственным сообщением. Контроль учетных записей в Windows 7 и Windows Server 2008 R2

Vadikan, спасибо за ответ.
Да вот как раз хотел уточнит тонкости, так как в той статье про этот сценарий не рассказано. Прочитаю ещё и предложенную.
А то, что UAC не стоит отключать согласен
Проводя параллель с ХР: там так обустроил работу в ограниченной учётной записи, что только пару программ нуждаются в запуске от имени. В новой ОС пытаюсь свести необходимость работать с повышенными правами (появлению окна UAC) к минимуму.