Wanneer u Doorgaan selecteert voor maptoegang in Windows Verkenner, wordt uw gebruikersaccount toegevoegd aan de ACL voor de map
Dit artikel biedt een oplossing voor een probleem wanneer u Doorgaan selecteert om toegang te krijgen tot een bestandssysteemmap waarvoor u geen leesmachtigingen hebt.
Van toepassing op: Windows 10 - alle edities, Windows Server 2012 R2
Origineel KB-nummer: 950934
Inleiding
In dit artikel wordt een scenario beschreven waarin Windows Verkenner u vraagt doorgaan te selecteren om toegang te krijgen tot een bestandssysteemmap waarvoor u geen leesmachtigingen hebt. Ook worden tijdelijke oplossingen beschreven om bepaalde aspecten van dit gedrag te voorkomen. Dit probleem treedt op in Windows Vista en latere versies van Windows en in Windows Server 2008 en latere versies van Windows Server. Windows Verkenner wordt Bestandenverkenner genoemd in Windows 8 en latere versies.
Meer informatie
Stel dat Gebruikersaccountbeheer (UAC) is ingeschakeld en u Windows Verkenner gebruikt om toegang te krijgen tot een map waarvoor u geen leesmachtigingen hebt. Bovendien is de map niet gemarkeerd met zowel de kenmerken Verborgen als Systeem. In dit geval wordt in Windows Verkenner een dialoogvenster weergegeven met het volgende bericht:
U bent momenteel niet gemachtigd om toegang te krijgen tot deze map. Klik op Doorgaan om permanent toegang te krijgen tot deze map.
Opmerking
In Windows Vista en Windows Server 2008 bevat de tweede zin het woord niet permanent; Er staat alleen op Doorgaan om toegang te krijgen tot deze map.
Vervolgens kunt u Doorgaan of Annuleren selecteren. (Doorgaan is standaard geselecteerd.) Als u Doorgaan selecteert, probeert UAC namens u beheerdersrechten te verkrijgen. Afhankelijk van de UAC-beveiligingsinstellingen die het gedrag van de UAC-uitbreidingsprompt bepalen en of u lid bent van de groep Administrators, wordt u mogelijk om toestemming of om referenties gevraagd. Het is ook mogelijk dat u helemaal niet wordt gevraagd. Als UAC beheerdersrechten kan verkrijgen, wijzigt een achtergrondproces de machtigingen voor de map en voor alle submappen en bestanden, om uw gebruikersaccount toegang te verlenen. In Windows Vista en Windows Server 2008 verleent het achtergrondproces uw gebruikersaccount lees- en uitvoeringsmachtigingen. In latere versies van Windows verleent dit proces uw gebruikersaccount volledig beheer.
Dit gedrag is inherent aan het ontwerp van het product. Maar omdat het typische patroon met UAC-uitbreiding is om een exemplaar van het verhoogde programma met beheerdersrechten uit te voeren, kunnen gebruikers verwachten dat door Doorgaan te selecteren, waardoor een exemplaar van Windows Verkenner met verhoogde bevoegdheid wordt gegenereerd en geen permanente wijzigingen worden aangebracht in bestandssysteemmachtigingen. Deze verwachting is echter niet mogelijk, omdat het ontwerp van Windows Verkenner het uitvoeren van meerdere procesexemplaren in verschillende beveiligingscontexten in een interactieve gebruikerssessie niet ondersteunt.
Als UAC is uitgeschakeld, is UAC-uitbreiding niet mogelijk. Alle programma's die worden uitgevoerd door leden van de groep Administrators, inclusief Windows Verkenner, hebben altijd beheerdersrechten. Beheerders hoeven dus geen uitbreidingsrechten te gebruiken om toegang te krijgen tot resources waarvoor beheerdersrechten zijn vereist. Als een map bijvoorbeeld alleen toegang verleent aan de groep Administrators en het systeemaccount, kan een beheerder er rechtstreeks door bladeren zonder te worden gevraagd de machtigingen van de map te wijzigen. Als de gebruiker geen leesmachtigingen heeft, wordt in Windows Verkenner het dialoogvenster weergegeven dat eerder is beschreven. Als UAC echter is uitgeschakeld, kan Windows geen beheerdersreferenties voor de gebruiker aanvragen via een vraag om UAC-uitbreiding. Windows start dus geen achtergrondproces met beheerdersmachtigingen om machtigingen voor het bestandssysteem te wijzigen.
Als de gebruiker echter Doorgaan selecteert en de huidige beveiligingsdescriptor van de map de gebruiker machtigingen verleent om zowel de machtigingen van het object te lezen als te wijzigen, start Windows het achtergrondproces in de huidige beveiligingscontext van de gebruiker en wijzigt de machtigingen van de map om de gebruiker meer toegang te geven, zoals eerder is beschreven. De gebruiker is mogelijk gemachtigd om de machtigingen van het object te lezen en te wijzigen van objecteigendom of van de toegangsbeheerlijst (ACL) van het object.
Bekende problemen
Deze functie kan onverwacht gedrag veroorzaken. Stel dat u deel uitmaakt van de groep Administrators en dat u Windows Verkenner gebruikt voor toegang tot een map waarvoor beheerderstoegang is vereist. Nadat de machtigingen zijn gewijzigd, kan elk programma dat via uw gebruikersaccount wordt uitgevoerd, volledige controle over de map hebben, zelfs als het programma niet is verhoogd en zelfs nadat uw account is verwijderd uit de groep Administrators. Dergelijke gewijzigde machtigingen kunnen in strijd zijn met het beveiligingsbeleid van een organisatie en kunnen worden gemarkeerd in een beveiligingscontrole. Als een programma bovendien de machtigingen voor het bestandssysteem verifieert, kan het worden geweigerd om uit te voeren als de machtigingen zijn gewijzigd.
UAC moet in alle gevallen ingeschakeld blijven, behalve onder de beperkte omstandigheden die worden beschreven in Gebruikersaccountbeheer (UAC) uitschakelen op Windows Server.
Tijdelijke oplossing 1
Als u wilt voorkomen dat machtigingen worden gewijzigd in een map die alleen toegankelijk is voor beheerders, kunt u overwegen een ander programma te gebruiken dat met verhoogde bevoegdheid kan worden uitgevoerd in plaats van Windows Verkenner. Voorbeelden zijn opdrachtprompt, PowerShell en de MMC-module Computerbeheer voor sharebeheer.
Tijdelijke oplossing 2
Als u een toepassingsspecifieke map hebt die is vergrendeld om te voorkomen dat gewone gebruikers er toegang toe hebben, kunt u ook machtigingen toevoegen voor een aangepaste groep en vervolgens geautoriseerde gebruikers toevoegen aan die groep. Denk bijvoorbeeld aan een scenario waarin een toepassingsspecifieke map alleen toegang verleent aan de groep Administrators en aan het Systeemaccount. In deze situatie maakt u een domein of een lokale AppManagers-groep en voegt u er vervolgens geautoriseerde gebruikers aan toe. Gebruik vervolgens een hulpprogramma zoals icacls.exe, het tabblad Beveiliging van het dialoogvenster Eigenschappen van de map of de PowerShell-cmdlet Set-Acl om de groep AppManagers naast de bestaande machtigingen volledig beheer van de map te verlenen.
Gebruikers die lid zijn van AppManagers kunnen Windows Verkenner gebruiken om door de map te bladeren zonder dat UAC de machtigingen van de map hoeft te wijzigen. Dit alternatief is alleen van toepassingsspecifieke mappen. U mag nooit machtigingen wijzigen in mappen die deel uitmaken van het Windows-besturingssysteem, zoals C:\Windows\ServiceProfiles.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor