4

Je rencontre des problèmes de compréhension de certains comportements d'autorisations de fichiers. Voici les étapes pour reproduire:Autorisations de fichier Windows Server 2008 R2

  1. Connectez-vous au serveur en utilisant le compte Administrateur par défaut

  2. Créez un fichier texte (testfile.txt) dans C: \ ProgramData contenant un texte arbitraire

  3. Créer un nouveau compte utilisateur et en faire un membre du groupe Administrateurs

  4. se connecter avec un nouveau compte et ouvert C: \ ProgramData \ testfile.txt

  5. Modifier le texte et essayer de sauver

Après avoir cliqué sur Enregistrer me présente la boîte de dialogue Enregistrer, ce qui indique que je ne dispose pas des autorisations nécessaires pour modifier le fichier. Cela semble étrange compte tenu du fait que le nouveau compte d'utilisateur est membre des administrateurs.

Lorsque je vois les permissions du fichier que je peux voir, il y a trois groupes listés, Système, Administrateurs et Utilisateurs. SYSTEM et les administrateurs ont des autorisations complètes, cependant, les utilisateurs ont uniquement les autorisations d'exécution et de lecture Read & vérifiées.

Il semblerait que lorsque j'ouvre le fichier testfile.txt à partir du compte des nouveaux utilisateurs, il s'ouvre dans le contexte du groupe Utilisateurs, bien qu'il soit membre des administrateurs, est-ce correct? Cela expliquerait certainement le comportement.

La raison pour laquelle cela me pose un problème est que si je déploie une application via 'Exécuter en tant qu'administrateur', les utilisateurs normaux pourront éditer les fichiers texte que j'installerai dans ProgramData.

Ce comportement est-il confiné au serveur Windows ou est-il le même dans Vista et Win7.

Répondre

1

Ceci est causé par l'UAC, comme les groupes d'administrateurs sont spéciaux, mais la raison pour laquelle vous pouvez accéder au fichier sans l'invite UAC, est parce que vous aurez une ACL explicite sur le système de fichiers objet qui vous accorde l'accès sans utiliser de groupes administrateur intégrés.

Vous serez probablement le propriétaire du fichier, et une ACL pour Creator Owner : Full Control existera (par défaut). En tant que propriétaire, vous devriez également voir la liste de contrôle d'accès explicite pour votre compte, par exemple. DOMAIN\Fly_Trap : Full Control

0

Je viens de tester sur Windows 7 et peut écrire dans des fichiers sous ProgramData sans problème. Vous pouvez tester si vous rencontrez un problème UAC en lançant un bloc-notes élevé (clic droit dans le menu Démarrer et Exécuter en tant qu'administrateur.) Si le bloc-notes élevé peut écrire le fichier, l'application que vous prévoyez d'exécuter en tant qu'administrateur être capable de. Si le bloc-notes élevé ne peut pas l'écrire, l'élévation de votre application n'aidera pas.

0

ive l'a testé sur Windows 2008 r2. c'est comme ça que ça doit être. c'est appelé uac. Vous avez créé un utilisateur normal et souhaitez modifier (même avec un groupe d'administrateur local) le fichier dont le propriétaire est administrateur. vous ne pouvez pas le faire mais vous pouvez accorder des privilèges d'administrateur et modifier ce fichier.

Plus de détails http://en.wikipedia.org/wiki/User_Account_Control