执行此操作时,资源管理器会更改文件夹的ACL,以将该特定用户完全控制权授予该文件夹. MS链接准确描述了需要它的设计约束.
但是,它会破坏该文件夹的权限集,并且无法实现权限的集中管理.例如,如果稍后从Administrators组中删除了指定的用户,则该ACL条目仍然存在,以允许他们访问该文件夹.
我不打算禁用UAC(我实际上喜欢提升和非提升之间的区别),我很高兴使用替代工具以高架方式导航和查看文件.
最终的目的是运行MS链接中描述的解决方法之一(使用可以运行提升的单独文件导航器,或者定义一个单独的组来控制对列入白名单的文件夹的访问)但是,所有时间资源管理器都会继续破坏文件夹的ACL随意,无法确定需要应用这些变通方法的位置(缺少定期审核每个文件夹以进行ACL更改).
如果我在资源管理器中运行非提升时尝试访问受限文件夹,我只想更喜欢标准的“拒绝访问”消息.
是否有设置(每个盒子一次或通过GPO)删除此“永久访问”提示,同时保留UAC的其他设施?
注意:我完全理解为什么这个提示存在,它意味着什么以及为什么行为是这样的(虽然我不一定同意设计决定).但是,我应该指出,我不打算讨论与用户的工作实践相关的变通方法,也不讨论UAC或管理员组成员资格的优点/缺陷.
唯一真正的解决方案是使用Windows资源管理器之外的其他东西进行文件浏览(当然也可以升级运行它).
问题来自于explorer.exe最初是使用非管理员访问令牌启动的(为了显示GUI),并且任何新会话(甚至是以管理员身份启动的会话)都会继承此受限访问令牌行为.有一个解决方法是使用管理令牌启动该初始Explorer实例,但是从GUI启动的任何内容都会继承管理访问令牌,从而有效地使UAC无效.