Копирование файлов с сопоставленного диска в локальный каталог завершается ошибкой (расположение недоступно), если включен контроль учетных записей

  • Статья

В этой статье устранена ошибка Расположение недоступно при попытке скопировать файлы с сопоставленного диска.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 2019185

Симптомы

Если включен контроль учетных записей (UAC), при попытке скопировать файл с сопоставленного диска в локальный каталог может возникнуть следующая ошибка:

Расположение недоступно
<Сопоставленная буква> диска\ относится к недоступному расположению. Он может находиться на жестком диске на этом компьютере или в сети. Проверьте правильность вставки диска, подключение к Интернету или сети, а затем повторите попытку. Если он по-прежнему не удается найти, возможно, информация была перемещена в другое расположение.

Причина

Основной причиной является контроль учетных записей и взаимодействие с разделенным маркером. Когда администратор входит на компьютер с включенным режимом утверждения Администратор (AAM), пользователю предоставляются два маркера доступа:

  • полный маркер доступа администратора;
  • отфильтрованный маркер доступа стандартного пользователя

По умолчанию при входе члена локальной группы администраторов права администратора windows отключаются, а права пользователя с повышенными привилегиями удаляются. В результате получается стандартный маркер доступа пользователя. Затем маркер доступа стандартного пользователя используется для запуска рабочего стола (Explorer.exe). Explorer.exe — это родительский процесс, от которого все остальные процессы, инициированные пользователем, наследуют свой маркер доступа. В результате все приложения по умолчанию запускаются от имени стандартного пользователя, если пользователь не предоставляет согласие или учетные данные для утверждения приложения на использование полного маркера административного доступа. В отличие от этого процесса, при входе стандартного пользователя создается только маркер доступа стандартного пользователя. Затем этот стандартный маркер доступа пользователя используется для запуска рабочего стола.

Чтобы произошла ошибка, должны быть созданы следующие условия:

  1. Контроль учетных записей включен с помощью AAM.
  2. Пользователь не входит в систему как администратор локального компьютера или с учетными данными администратора домена.
  3. Диск сопоставляется с помощью стандартного контекста безопасности пользователя.
  4. У пользователей нет разрешений NTFS на создание и запись в целевом каталоге.

Пользователь сопоставил диск с помощью параметра Сопоставить сетевой диск в Windows Обозреватель или выполнив net use команду в командной строке без повышенных привилегий. Сопоставленные диски можно увидеть, запустив net use в качестве стандартного пользователя из командной строки без повышенных привилегий. В этом случае диск был сопоставлен как обычный пользователь.

C:\Users\johnsmith>net use
New connections will be remembered.
Status      Local     Remote                    Network
-------------------------------------------------------------------------------
OK          X: [\\contoso-dc1\d$](file://contoso-dc1/d$)               Microsoft Windows Network
The command completed successfully.

При выполнении той же команды в командной строке с повышенными привилегиями сопоставленный диск не указан.

C:\Windows\system32>net use
New connections will be remembered.
There are no entries in the list.

Это ясно показывает, что в сеансе с повышенными привилегиями не отображается сопоставленный диск стандартного пользователя. Поэтому он не может завершить операцию копирования. Такое поведение является особенностью данного продукта.

Примечание.

По умолчанию AAM включен для учетных записей, входящих в локальную группу администраторов. Этот параметр можно найти в узле Параметры безопасностилокальной политики в разделе Параметры безопасности. Его можно настроить с помощью локальной групповая политика Редактор (secpol.msc) и консоли управления групповая политика (GPMC) (gpedit.msc). Дополнительные сведения о контроле учетных записей см. в разделе Контроль учетных записей пользователей.

Разрешение

  1. Сопоставить диск с помощью процесса с повышенными привилегиями. Но windows Обозреватель не увидит сопоставление диска с повышенными привилегиями. Дополнительные сведения см. в разделе Дополнительные сведения .

    Контроль учетных записей пользователей Windows 7

  2. Используйте UNC-путь для подключения к сетевым ресурсам, например \\server\share.

  3. Используйте параметры групповая политика для сопоставления дисков. В техническом документе, на который ссылается ссылка, представлены параметры групповая политика, которая является новой функцией в Windows Server 2008. В техническом документе описывается, как использовать параметры групповая политика для более эффективного развертывания параметров операционной системы и приложений и управления ими. групповая политика Параметры позволяют настраивать, развертывать и администрировать параметры операционной системы и приложений, которыми вы ранее не могли управлять с помощью групповая политика. Примерами являются сопоставленные диски, запланированные задачи и параметры меню "Пуск". Для многих типов параметров операционной системы и приложений использование параметров групповая политика является лучшей альтернативой их настройке в образах Windows или сценариям входа.

    Обзор параметров групповая политика

  4. Сопоставить диски со скриптом входа, который использует скрипт launchapp.wsf для планирования команд с помощью планировщика задач. Приведенный ниже документ поможет вам сортировать новые и обновленные функции, доступные в Windows Vista. Он также предоставляет множество рекомендаций по развертыванию групповая политика.

    Развертывание групповая политика с помощью Windows Vista

  5. В следующей статье описывается неподдерживаемый метод, который отменяет изменение безопасности, описанное выше, путем настройки EnableLinkedConnections значения реестра. Это значение позволяет Windows Vista совместно использовать сетевые подключения между отфильтрованным маркером доступа и маркером доступа полного администратора для члена группы администраторов. После настройки этого значения реестра LSA проверяет, связан ли другой маркер доступа с текущим сеансом пользователя, если сетевой ресурс сопоставлен с маркером доступа. Если LSA определяет наличие связанного маркера доступа, он добавляет сетевую папку в связанное расположение.

    Программы могут не получить доступ к некоторым сетевым расположениям после включения контроля учетных записей пользователей в Windows Vista или более новых операционных системах

Дополнительная информация

Когда пользователь с правами администратора входит в систему, Windows обрабатывает сценарии входа с помощью маркера с повышенными привилегиями. Скрипт фактически работает и сопоставляет диск. Однако Windows блокирует представление сопоставленных сетевых дисков, так как рабочий стол использует отфильтрованный маркер, а диски были сопоставлены с помощью маркера с повышенными привилегиями (полный администратор).

До Windows 2000 с пакетом обновления 2 (SP2) имена устройств (например, сопоставленные диски) оставались глобально видимыми до явного удаления или перезапуска системы. По соображениям безопасности мы изменили это поведение, начиная с Windows 2000 с пакетом обновления 2 (SP2). С этого момента все устройства будут связаны с идентификатором проверки подлинности (LUID). LUID — это идентификатор, создаваемый для каждого сеанса входа. Процесс, выполняемый в контексте LocalSystem, может создать имя устройства в глобальном пространстве имен устройств, хотя локальные объекты пространства имен могут скрывать объекты глобального пространства имен.

Эти сопоставленные диски связаны с LUID. Приложения с повышенными привилегиями используют другой LUID, созданный во время отдельного события входа. Таким образом, приложение с повышенными привилегиями больше не будет видеть сопоставленные диски для этого пользователя. Вы заметите то же поведение, что и CreateProcessAsUser ранее с помощью RunAs API, но контроль учетных записей значительно увеличивает число пользователей, которые будут использовать эти понятия.

В результате при повышении уровня командной строки вы больше не увидите подключенные к локальному пространству имен диски, созданные из исходного имени входа (независимо от того, созданы ли они с помощью сценария входа, с помощью WNetAddConnection API или иным образом). Существует мера по устранению рисков для сценария запуска из Windows Обозреватель. Если дважды щелкнуть исполняемый файл, который обнаружен как файл установки или отображается как requireAdministrator, Windows может обнаружить, что он был повышен и что есть ошибка, указывающая, что путь не найден, и скопировать сопоставление диска из исходного LUID. Однако это единственный сценарий, который автоматизирован.