Quando si seleziona Continua per l'accesso alle cartelle in Esplora risorse, l'account utente viene aggiunto all'elenco di controllo di accesso per la cartella
Questo articolo fornisce una soluzione a un problema quando si seleziona Continua per ottenere l'accesso a una cartella del file system per cui non si dispone delle autorizzazioni di lettura.
Si applica a: Windows 10: tutte le edizioni, Windows Server 2012 R2
Numero KB originale: 950934
Introduzione
Questo articolo descrive uno scenario in cui Esplora risorse richiede di selezionare Continua per ottenere l'accesso a una cartella del file system per cui non si dispone delle autorizzazioni di lettura. Vengono inoltre descritte le soluzioni alternative per evitare particolari aspetti di questo comportamento. Questo problema si verifica in Windows Vista e versioni successive di Windows e in Windows Server 2008 e versioni successive di Windows Server. Esplora risorse viene chiamato Esplora file in Windows 8 e versioni successive.
Ulteriori informazioni
Si supponga che controllo dell'account utente sia abilitato e che si usi Esplora risorse per accedere a una cartella per cui non si dispone delle autorizzazioni di lettura. Inoltre, la cartella non è contrassegnata sia dagli attributi Hidden che da System. In questo caso, Esplora risorse visualizza una finestra di dialogo in cui viene visualizzato il messaggio seguente:
Attualmente non si dispone dell'autorizzazione per accedere a questa cartella. Fare clic su Continua per ottenere definitivamente l'accesso a questa cartella.
Nota
In Windows Vista e Windows Server 2008, la seconda frase non include la parola in modo permanente; è sufficiente fare clic su Continua per ottenere l'accesso a questa cartella.
È quindi possibile selezionare Continua o Annulla. L'opzione Continua è selezionata per impostazione predefinita. Se si seleziona Continua, Controllo dell'account utente tenta di ottenere i diritti amministrativi per conto dell'utente. A seconda delle impostazioni di sicurezza di Controllo dell'account utente che controllano il comportamento del prompt dell'elevazione del controllo dell'account utente e se si è membri del gruppo Administrators, potrebbe essere richiesto il consenso o le credenziali. In alternativa, potrebbe non essere richiesto affatto. Se Il controllo dell'account utente può ottenere diritti amministrativi, un processo in background modificherà le autorizzazioni per la cartella e in tutte le relative sottocartelle e file per concedere l'accesso all'account utente. In Windows Vista e Windows Server 2008, il processo in background concede all'account utente le autorizzazioni lettura ed esecuzione. Nelle versioni successive di Windows, questo processo concede all'account utente il controllo completo.
Si tratta di un comportamento legato alla progettazione del prodotto. Tuttavia, poiché il modello tipico con l'elevazione del controllo dell'account utente consiste nell'eseguire un'istanza del programma con privilegi amministrativi, gli utenti possono aspettarsi che selezionando Continua, che genererà un'istanza con privilegi elevati di Esplora risorse, e non apporti modifiche permanenti alle autorizzazioni del file system. Tuttavia, questa aspettativa non è possibile, poiché la progettazione di Esplora risorse non supporta l'esecuzione di più istanze di processo in contesti di sicurezza diversi in una sessione utente interattiva.
Se Controllo dell'account utente è disabilitato, l'elevazione del controllo dell'account utente non è possibile. Tutti i programmi eseguiti dai membri del gruppo Administrators, incluso Esplora risorse, hanno sempre diritti amministrativi. Pertanto, gli amministratori non devono usare l'elevazione dei privilegi per accedere alle risorse che richiedono diritti amministrativi. Ad esempio, se una cartella concede l'accesso solo al gruppo Administrators e all'account di sistema, un amministratore può esplorarlo direttamente senza che venga richiesto di modificare le autorizzazioni della cartella. Se l'utente non dispone delle autorizzazioni di lettura, Esplora risorse visualizza la finestra di dialogo descritta in precedenza. Tuttavia, se Controllo dell'account utente è disabilitato, Windows non può richiedere le credenziali amministrative per l'utente tramite un prompt di elevazione del controllo dell'account utente. Windows non avvierà quindi un processo in background con autorizzazioni amministrative per modificare le autorizzazioni del file system.
Tuttavia, se l'utente seleziona Continua e il descrittore di sicurezza corrente della cartella concede all'utente l'autorizzazione per leggere e modificare le autorizzazioni dell'oggetto, Windows avvierà il processo in background nel contesto di sicurezza corrente dell'utente e modificherà le autorizzazioni della cartella per concedere all'utente un maggiore accesso, come descritto in precedenza. L'utente può disporre dell'autorizzazione per leggere e modificare le autorizzazioni dell'oggetto dalla proprietà dell'oggetto o dall'elenco di controllo di accesso (ACL) dell'oggetto.
Problemi noti
Questa funzionalità può causare un comportamento imprevisto. Si supponga, ad esempio, di appartenere al gruppo Administrators e di usare Esplora risorse per accedere a una cartella che richiede l'accesso amministrativo. Dopo aver modificato le autorizzazioni, qualsiasi programma in esecuzione tramite l'account utente può avere il controllo completo della cartella, anche se il programma non è con privilegi elevati e anche dopo che l'account è stato rimosso dal gruppo Administrators. Tali autorizzazioni modificate possono violare i criteri di sicurezza di un'organizzazione e possono essere contrassegnate in un controllo di sicurezza. Inoltre, se un programma verifica le autorizzazioni del file system, può rifiutare l'esecuzione se le autorizzazioni sono state modificate.
Controllo dell'account utente deve rimanere abilitato in tutti i casi, ad eccezione delle circostanze vincolate descritte in Come disabilitare il controllo dell'account utente in Windows Server.
Soluzione alternativa 1
Per evitare di modificare le autorizzazioni in una cartella accessibile solo agli amministratori, è consigliabile usare un altro programma che può essere eseguito con privilegi elevati anziché usare Esplora risorse. Gli esempi includono prompt dei comandi, PowerShell e lo snap-in MMC Gestione computer per la gestione delle condivisioni.
Soluzione alternativa 2
Se si dispone di una cartella specifica dell'applicazione bloccata per impedire agli utenti normali di accedervi, è anche possibile aggiungere autorizzazioni per un gruppo personalizzato e quindi aggiungere utenti autorizzati a tale gruppo. Si consideri, ad esempio, uno scenario in cui una cartella specifica dell'applicazione concede l'accesso solo al gruppo Administrators e all'account di sistema. In questo caso, creare un dominio o un gruppo AppManagers locale e quindi aggiungervi utenti autorizzati. Usare quindi un'utilità come icacls.exe, la scheda sicurezza della finestra di dialogo Proprietà della cartella o il cmdlet Set-Acl di PowerShell per concedere al gruppo AppManagers controllo completo della cartella, oltre alle autorizzazioni esistenti.
Gli utenti che sono membri di AppManagers possono usare Esplora risorse per esplorare la cartella senza dover modificare le autorizzazioni della cartella. Questa alternativa si applica solo alle cartelle specifiche dell'applicazione. Non è mai consigliabile apportare modifiche alle autorizzazioni alle cartelle che fanno parte del sistema operativo Windows, ad C:\Windows\ServiceProfilesesempio .
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per