[Ingolder]

насущная необходимость есть в том, чтобы разобраться, как оно работает. Это самая нассущная.
По факту, такие права на все папки и файлы на всём жёстком диске. Ну да, не принципиально для большинства программ.. но проблема-то глобальная. Одна программа на работает, другая не распаковывает, третья не скачивает, четвёртая не запускается вообще... Ну, да, можно одним махом добавить моего пользователя, дать ему фулл контрол, да и дело в топку. Проблема в том, что я хочу разобраться в этом.

[Vadikan]

Цитата Ingolder:

Проблема в том, что я хочу разобраться в этом. »

Это понятно.

Цитата Ingolder:

наличие этой проблемы при выключенном UAC не знаю. чуть позже попробую, выключу, напишу. »

Напишите

[Ingolder]

С выключенным UAC достаточно фулл контрола на группу администраторов в папке, чтобы всё нормально работало и извлекалось.
с включенным UAC если только группе админов дан фулл контрол (все остальные отсутствуют), то даже в папку не зайдёшь... не то что там.. но винда не спрашивает повышения привилегий, она просто недаёт нормально работать.

[Vadikan]

Цитата Ingolder:

с включенным UAC если только группе админов дан фулл контрол (все остальные отсутствуют), то даже в папку не зайдёшь... не то что там.. но винда не спрашивает повышения привилегий »

Странно... При входе администратора в папку, на которую требуются полные права, должно появляться предложение зайти с правами администратора... У вас все это происходит на системном разделе? В какой конкретно папке?

И наконец, я вроде уже второй раз прошу вас подробно сформулировать задачу. Не то, чего вы пытаетесь добиться напролом, а общую картину.

[Ingolder]

да, прошу прощения, не точно выразился.
Если на папку даны права только группе администраторов, и UAC включён, то при попытке войти в неё он спросит разрешения администратора, и если его удовлетворить, то он естественно на всю папку добавит текущего пользователя с папаметрами фулл контрол, и соответственно всё будет работать. А вот если на папку даны права не только группе администраторов, но и например Users и Authenticated users, то в папку он зайдёт без проблем а вот распаковать (и пр.) он не сможет. В этом месте - непонятно - почему винда не даёт распаковать (и прочее.. ), если текущий пользователь входит в группу администраторов? (а не избавиться от проблемы, выключая uac, или задавая права на папку. Проблема в понимании происходящего, а не в неработоспособности программ)

P.s. кстати, проверял: если на папку даны права только группе администраторов, то встроенный локальный администратор там может распаковывать всё как надо и выполнять всё что угодно, а вот другие члены группы администраторов, как видите, нет...


Формулирую конкретнее задачу:
1) прошу вас всех, уважаемые форумчане, ответить на вопрос, выделенный выше жирным. Мне не понятен данный механизм; помогите пожалуйста мне его понять, как оно работает. Я как-бы предполагал, что если пользователь входит в какую-либо группу, то на него действуют правила этой группы. Про явные и неявные запреты рассказывать не нужно - в общем теория мне хорошо знакома. Я не понимаю конкретно взятый случай - он противоречийт моему пониманию.

2) а так же объяснить мне (дать ссылки, посоветовать литературу, итд) :
- где узнать, какие права\привилегии даны всем группам пользователей(и админов, итд.), которые находятся по умолчанию в виндовсе. Непонятно, группы есть разные и всякие, а конкретно что им разрешено и запрещено - не видно.

собственно, всё это я написал в первом сообщении. уж не знаю, как понятнее.
Спасибо




p.s. причём вот фигня то какая, если мой пользователь находится только в группе администраторов, и на папку дан фулл контрол этой группе, то он туда не попадёт (если не удовлетворит запрос винды, которая даст непосредственно на пользователя фулл контрол). А если на папку помимо группы администраторов добавить ещё и группу Users (в которую мой пользователь не входит (проверял!) ), то он в папку заходить БУДЕТ! ничего не понимаю, как это так оно васё получается?...

[Vadikan]

Цитата Ingolder:

почему винда не даёт распаковать (и прочее.. ), если текущий пользователь входит в группу администраторов? »

Получается, вас теория интересует - подход чисто научный Кратко - потому что группа администраторов еще не означает полных прав администраторов. Ок, я попробую объяснить подробнее

Забудьте на минуту о том, в какую группу входит учетная запись. Исходите лишь из того, есть ли у нее полные административные права (ПАП), т.е. пройден контроль учетных записей или нет.

Проводник всегда работает в контексте обычного пользователя. Когда вы открываете в проводнике папку, для доступа в которую нужны ПАП, ОС предлагает их подтвердить. Когда вы запускаете архиватор, он тоже запускается с обычными правами, но при распаковке, т.е. записи в папку, ничего не предлагается подтвердить. Чтобы распаковать в такую папку, нужно сразу запустить архиватор от имени администратора.

С другой стороны, если вы распакуете файл в папку в пределах своего профиля, а потом скопируете его в папку, для которой требуются ПАП, все будет ок - при копировании будет окно UAC.

У медали есть и третья сторона Это виртуализация папок. Если в папке, на которую нужны ПАП, находится некое приложение (написанное без учета UAC), то оно может "сломаться", если попытается сохранить какой-нибудь собственный файл (например, настройки) без достаточных прав. Чтобы этого не происходило, операция записи производится в виртуальное хранилище в профиле пользователя - т.е. приложение "думает", что все прошло нормально и отныне видит этот файл именно в виртуальном хранилище. Отличие от распаковки тут в том, что если вам отказано в доступе, вы всегда можете выбрать другую папку. А вот в приложении такая возможность может быть не предусмотрена.

Вот такую роль играет UAC в совместимости приложений.

Литература:
Контроль учетных записей в Windows 7 и Windows Server 2008 R2
Принцип работы "Контроля учетных записей пользователей" в Windows 7

[Ingolder]

Всё то , что вы рассказали, мне и так было ясно, и теперь это конечно стало ещё яснее, но всё-таки я не могу понять :

Цитата Vadikan:

Забудьте на минуту о том, в какую группу входит учетная запись. Исходите лишь из того, есть ли у нее полные административные права (ПАП), т.е. пройден контроль учетных записей или нет. »

разве не этим ли определяются права учётной записи? если не тем, в какую группу она входит, то тогда весь механизм групп просто теряет смысл. Вот в этом главный вопрос и загвоздка.



а на второй вопрос .. ответа не было

[Vadikan]

Цитата Ingolder:

Всё то , что вы рассказали, мне и так было ясно »

Извините, но я сомневаюсь в этом, исходя из задаваемых вами вопросов. Да, права определяются принадлежностью к группе, но при вкл. UAC пользовательские процессы и приложения работают с правами обычного пользователя, даже если пользователь входит в группу администраторы. Честно говоря, я не знаю, как это еще сформулировать более доступно, тем более что в двух указанных мной статьях это повторяется неоднократно, да и описано все очень подробно.

Цитата Ingolder:

а на второй вопрос .. ответа не было »

Я не знаю точного ответа на ваш вопрос применительно к 7. В библиотеке Microsoft Technet есть эта информация применительно к Server 2008, наверное. Сходу я ее не нашел, но она должна быть - так что поищите - groups, rights, Privileges - в этом ключе. Будет время, я посмотрю еще. Но это не имеет никакого отношения к вашей проблеме - вам нужно понять принцип работы UAC, который вам вроде как уже ясен

[Ingolder]

Vadikan, вы весьма чётко излагаетесь, видимо это я плохо доношу до вас свой вопрос.

Цитата Vadikan:

...но при вкл. UAC пользовательские процессы и приложения работают с правами обычного пользователя, даже если пользователь входит в группу администраторы »

повторяю:
Замечательно, но тогда получается, что при включённом UAC смысл технологии применения групп - теряется?


особенно теряется смысл при непонимании второго вопроса - какие группы позволяют работать пользователю

Цитата Vadikan:

с правами обычного пользователя »

, а какие - с правами "необычного". Вот и встаёт вопрос о группах...

спасибо за ваши ответы

[Vadikan]

Цитата Ingolder:

Замечательно, но тогда получается, что при включённом UAC смысл технологии применения групп - теряется? »

Нет, конечно. UAC использует группы... Если вы запустите ком. строку с от имени администратора под обычным пользователем, UAC предложет ввести учетные данные администратора. Если под администратором, только подтвердить запрос. Система правильно определяет принадлежность учетной записи к группе безопасности.

Цитата Ingolder:

особенно теряется смысл при непонимании второго вопроса - какие группы позволяют работать пользователю Цитата Vadikan:с правами обычного пользователя » , а какие - с правами "необычного". Вот и встаёт вопрос о группах... »

Вопрос поставлен некорректно, ибо нет прав необычного. Есть права администратора. С ними позволяет работать группа Администраторы. Но до тех пор, пока вы не уясните, что если права администратора не требуются, администраторы выполняют свои задачи с правами обычного пользователя, вы не продвинетесь ни на йоту в понимании проблемы.

Права пользователя определяются принадлежностью к группе безопасности. Ок, еще раз. Есть два пользователя - А (гр. Пользователи) и Б - группа Администраторы. Оба пользователя пытаются скопировать файл с рабочего стола в Program Files, для записи в которую нужны полные права администратора.

UAC выключен:
Пользователь A получает сообщение "Доступ запрещен" - у него нет прав.
Пользователь Б копирует файл сразу/

UAC включен:
Пользователь А получает запрос UAC с предложением ввести административные учетные данные. Если их нет, операция не выполняется.
Пользователь Б получает запрос UAC на подтверждение операции, после чего копирует файл.