Назначение прав доступа папке (файлам) и UAC (контроль учётных записей)
 

Здравствуйте, уважаемые форумчане.

Возникла такая проблема, подскажите кто может сталкивался.

Есть две учетки: два пользователя, Учитель (Администратор, под паролем) и Ученик (Пользователь – стандартная, без пароля). И есть папка созданная Учителем.
В UAC установлен "Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей" на "Запрос учетных данных".

Необходимо, чтобы я мог через пользователя "Ученик" войти в папку (через Повышение прав на Администратора - Учителя), скопировать туда нужные файлы или изменить существующие там файлы, выйти или перезагрузится - доступ при этом не открывался Ученику, оставался только "Учителю" через повышение прав.
Ученик при этом не должен иметь никаких прав к этой папке.

1. Если в правах доступа к папке (Свойства -> Безопасность) добавить одного Учителя(Админа) с полным доступом к папке, сделав его владельцем и удалить пользователя "Все" происходит следующие:

При входе через Ученика в данную папку UAC (повышение прав) просит пароль Учителя.
При вводе пароля заходит в папку и АВТОМАТИЧЕСКИ винда вносит Ученика в права доступа папки с ПОЛНЫМ ДОСТУПОМ и оставляет там его навсегда.

Получается, что поработав один раз с этой папкой через пользователя УЧЕНИК с повышением прав до УЧИТЕЛЯ, я даю Ученику автоматически полный доступ к этой папке.

Как понимаю - он видит, что в правах папки нет Ученика и он его пихает с полным доступом.

Как может можно сделать, чтобы он не вносил в права доступа Ученика после входа в папку через повышение прав доступа на Учителя?


2. Если в правах доступа к папке оставить Учителя(Админа) с полным доступом к папке и добавить Ученика с ЗАПРЕТОМ на полный доступ, то:

При входе через Ученика в данную папку UAC (повышение прав) просит пароль Учителя, а после ввода пишет - "Доступ запрещен". Пароль вводится верно.
Хотя я в нее же захожу в учетке Ученика через Учителя у которого полный доступ, а не ученика.

Это касается Windows 7,8,10.
Подскажите, может есть еще какие варианты как это все обойти?
В 1-м случае может есть какая настройка, которая отключает этот автоматический внос Ученика в права доступа папки (с полным доступ)?

Нужно чтобы через учетку Ученика я мог зайти в свою (Учительскую) папку с паролем через UAC,
поковыряться там и выйти, и чтобы ученик после этого не имел доступа к ней (не зная пароля Учителя).

Может в локальных групповых политиках что-то поменять нужно?

Нужно обязательно через Windows это организовать - повышение прав доступа (Тотал и другие файл. менеджеры не подходят).

Заранее, большое Спасибо.

Нет, для текущего сеанса ученика остается открытая сессия в эту папку, и во время последующего захода внутри этого же сеанса ученика (до перезагрузки или перезахода в учетку) - пароль запрашиваться не будет. Просто галочку "сохранить пароль" ставить не надо.

А вообще, как обходной вариант, можешь просто запускать на компьютере ученика какой-нибудь тотал коммандером (или другим файловым менеджером) от админки (пкм - запустить от имени админа) и выполнять операции с папкой. По закрытии тотал коммандера сессия сбрасывается и ученик остается без права заглянуть в папку.

Галочки "сохранить пароль" при входе в папку, через повышение прав - нету.
Разого вносишь пароль Учителя и он добавляет Ученика с полным доступом в Свойства папки ->Безопасность.

И это сохраняется и на текущий сеанс и после перезагрузки, когда снова зайдешь в Ученика,
пока заного не удалишь его из Прав доступа к папке.

Необходимо, чтобы через Windows обязательно было, т.к. Учителя работающие на компе c данными (данной) папками, Тоталом не пользуются и не хотят. И хотят заходить не из под своей учетки в данные папки, а учетки именно Ученика.

Тогда пусть обломятся со своими хотелками, виндовс так не работает.

Это связанно с тем, что им нужно за перерыв 5-10 минут между потоками, сделать данную операцию на 15-20 компьютерах Учеников.

Нужно не сменяя пользователя Ученика, с рабочего стола закидывать в их нею папку «Документы Учителя» работы, чтобы это занимало совсем мало времени. И чтобы потом после перезагрузки Ученик по-прежнему не имел доступа к этой папке, не зная пароль Учителя.


Приходится что-то думать...

Никак не могу только понять (то что описал в п.2), если делать через Windows, если я назначил права доступа папке: Учитель -> Полный доступ -> Разрешить; Ученик->Полный доступ->Запретить.

После входа в папку через учетку Ученика, вылетает повышение прав с предложением ввести пароль Учителя. А после ввода пароля он пишет «Отказано в доступе»(пароль правильный).

Почему так происходит? Учитель же обладает полным доступом к папке. Почему он пытается зайти по-прежнему Учеником?
Ведь это и есть суть повышения прав доступа UAC (применительно к папке).
Для чего тогда повышение прав вообще нужны (применительно к папке)?

Опишу еще раз случай:

Есть папка “Документы учителя” созданная админом (Учителем).
Есть пользователь Ученик (обычный (стандартный) пользователь), доступ у данного пользователя к папке «Документы учителя» должен быть полностью запрещен.

Нужно через сессию Ученика, через повышение прав UAC, зайти в эту папку под админом Учителем (так как только у него должен быть доступ). И сделать необходимые операции в папке «Документы Учителя» (при этом, выйдя из сессии Ученика, или перезагрузив комп. доступ к папке у Ученика по-прежнему должен быть закрыт).


Если кто-нибудь знает, как реализовать это через повышение прав UAC Windows (может поменять оснастки групповых политик какие-нибудь?) и можно ли вообще, пишите.

Serg_ostr, а если так извернуться? Если конечно это приемлемый вариант...
Состряпать сценарий, deny.cmd. В котором, с помощью icacls забирать права у пользователя по тому же drug&drop?
Ну и подстраховаться не помешает - планировщик заданий по событию настроить для запуска этого сценария, например разлогон/перезагрузка.

Вы имеете ввиду, что открыть доступ к папке "Документы Учителя" Ученику, а потом после того как Учитель поработает в ней и перезагрузишься Ученик потерял права?
В какой момент это делать?

Через \deny, /grant?

Serg_ostr, "открывать доступ" Вы уже знаете как - щёлкнув по папке и введя пароль. Через сценарий права следует отбирать, которые уже выдали.

Для ICals отбора прав \deny только используется или еще что-то?

Спасибо, можно попробывать.