|
Ограничения на права в папках
ОС Win7 32-bit. Компьютер в домене. У меня права локального администратора (должны быть полные - так на вкладке Безопасность в свойствах диска С). Папки в корне диска С создавать могу, и даже могу в них копировать и удалять файлы. Но редактировать эти скопированные файлы не могу, и не могу создать ничего, кроме папок (меню по прав.кнопке мыши "Создать- Папки" и всё...). С редактированием так: этот же файл не перезаписывает, а может только сохранить с другим именем, но здесь же.
В папке "Локальные документы" всё как надо - меню ПКМ-"Создать" - полный набор вариантов. Если зайду в FAR с адм.правами (с моими же, другое имя не запрашивается), то папки и файлы в них создаются-редактируются как надо. От админов домена ничего добиться не могу, но вряд ли дело в политиках безопасности, т.к. другие компьютеры в этой же группе не страдают таким эффектом. UAC - как на всех остальных. Думаю, что причину надо искать в настройках конкретного компьютера. Но где - не знаю... Переустановку ОС не предлагать! Это несколько трудоемкий процесс из-за остального необходимого ПО, оставляю его как последний вариант. Хочется разобраться ничего не убивая. |
1. Win+R выполнить secpol.msc
2. Локальные политики\Параметры безопасности 3. Контроль учетных записей: все администраторы работают в режиме одобрения администратором (поставьте чекбокс отключен) 4. Перезагрузите ПК Попробуйте! |
ОК. Точно посмотрю в понедельник. Отпишусь.
Но если я правильно визуально запомнила ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, то параметр EnableUA=0 Я там смотрела сегодня, когда статью на этом сайте читала. И еще пыталась сравнить нормальный комп с ненормальным; перемещала в другой контейнер в Active Directory, смотрела что здесь меняется после обновления политик. По-моему, правильно запомнила. Еще поясню, т.к. это может быть важно: конечная цель не выровнять права администратора (я бы это пережила с FAR-ом). Главное, что у меня одна программа именно на этих компьютерах криво работает. Для работы этой программы создается каталог с фиксированным именем на диске С. Путь к каталогу задается в переменной PATH; права у всех пользователей на этот каталог должны быть полные; существует определённый набор файлов в этом каталоге; обязательно регистрируем (regsvr32) парочку DLL из этого каталога. Далее, при каждом вызове этого инструмента должна подхватиться библиотека, будут создаваться новые файлы и перезаписываться (пополняться) логи. Так вот админский функционал из-под FAR-а, запущенного с адм.правами, отрабатывает. А когда работает обычный пользователь, то из глобальной АС должен подхватиться вот этот инструмент, но с несколько иным функционалом. Железо видит друг друга (комп сознаёт, что у него на СОМ-порту висит то, что надо, и проходит дальше). А вот дальше ничего не подхватывается, и мои познания в том, что должно быть, весьма эмпирические: должно прорисоваться определенное окно, но оно не прорисовывается, поэтому мне думается, что не подхватывается какая-то библиотека. Или может ПО не может создать/изменить какой-то файл в каталоге. С какими правами запускается процесс - это тайна, покрытая мраком. Логично было бы предположить, что с правами системы. Вот я и подумала, что если такой косяк с админскими правами, то может и с ситемными та же проблема.... Повторюсь: везде "галочки" на правах есть, а реально - например, при перезаписи txt-файла, редактированного Блокнотом, выдает "отказано в доступе". При этом удалить/переименовать/сохранить с др.именем - всё можно. |
Цитата:
|
Спасибо всем.
Отключение "Контроль учетных записей: все администраторы работают в режиме одобрения администратором" действительно помогло в ситуации с правами. Но моя проблема видимо где-то глубже, т.к. на других компьютерах домена этот параметр "Включен", но права не урезаются и ПО работает. А на этом даже при отключенном параметре и неурезанных правах ПО не работает. Кстати, посмотрела - ПО запускается от имени пользователя. А есть у кого-нибудь еще варианты: кроме параметров контроля учетных записей (они везде у меня идентичны), что еще может вызвать такой "правовой эффект"? |
Цитата:
|
Цитата:
|
Пока читала про уровни целостности и разбиралась с текущим положением, нашлось решение.
Всё оказалось предельно просто: у локальной группы "Пользователи" на создаваемых каталогах в Свойствах-Безопасность не было прав на Изменение. Ставлю галку - меню Создать полное и моё злополучное ПО работает, как надо. Нашла это, конечно, не сама. Поэтому до сих пор не понимаю, почему права лок.группы Пользователи перекрыли права лок.группы Администраторы (там же полные права)? В лок.группу Администраторы входит доменная группа, членом которой я и являюсь. А в лок.группе Пользователи есть только NT AUTHORITY\Прошедшие проверку и NT AUTHORITY\Интерактивные. Если кто-то кинет ссылки на статьи, объясняющие этот факт, буду очень рада. А так - всем большое спасибо, проблема решена. |
Цитата:
|
Папку создаю сама, пользователи всегда разные (домен, однако!). Причем папки создаю самые любые, и ограниченность прав наблюдаю всегда.
Поэтому принудительный запрет на папке и запрет по имени - не вариант. |
Админ домена ответил: с включенным UAC процессы выполняются с правами пользователя.
Вобщем, надо было про UAC читать внимательнее :closed-to |
Рановато я тему закрыла.
UAC на всех компьютерах настроен одинаково. При этом на "нормальных" компьютерах в создаваемых папках у лок.группы Пользователи нет прав на Изменение. Однако же под админом файлы изменять я могу, в Проводнике. Таким образом: отсутствие прав на Изменение у лок.группы Пользователи - это не ПРИЧИНА странных прав админа, а лишь ЗАПЛАТКА, которая позволяет с помощью UAC выровнять проблему. А в чем же тогда причина? Есть идеи? Интересно... :search: Кстати, посмотрела уровень целостности создаваемой папки (с помощью icacls) - видимо средний, поскольку фраза про низкий уровень в выведенном отчете отсутствовала. |
| Время: 08:04. |
Время: 08:04.
© OSzone.net 2001-