Quando você seleciona Continuar para acesso à pasta no Windows Explorer, sua conta de usuário é adicionada à ACL para a pasta

Este artigo fornece uma solução para um problema quando você seleciona Continuar para obter acesso a uma pasta do sistema de arquivos para a qual você não tem permissões de leitura.

Aplica-se a: Windows 10 — todas as edições, Windows Server 2012 R2
Número de KB original: 950934

Introdução

Este artigo descreve um cenário no qual o Windows Explorer solicita que você selecione Continuar para obter acesso a uma pasta do sistema de arquivos para a qual você não tem permissões de leitura. Ele também descreve soluções alternativas para evitar aspectos específicos desse comportamento. Esse problema ocorre no Windows Vista e em versões posteriores do Windows e no Windows Server 2008 e versões posteriores do Windows Server. O windows Explorer é chamado Explorador de Arquivos em versões Windows 8 e posteriores.

Mais informações

Suponha que o UAC (Controle de Conta de Usuário) esteja habilitado e use o Windows Explorer para acessar uma pasta para a qual você não tem permissões de leitura. Além disso, a pasta não é marcada pelos atributos Hidden e System. Nesta situação, o Windows Explorer exibe uma caixa de diálogo que solicita a seguinte mensagem:

No momento, você não tem permissão para acessar essa pasta. Clique em Continuar para obter acesso permanente a essa pasta.

Em seguida, você pode selecionar Continuar ou Cancelar. (Continuar é selecionado por padrão.) Se você selecionar Continuar, a UAC tentará obter direitos administrativos em seu nome. Dependendo das configurações de segurança do UAC que controlam o comportamento do prompt de elevação do UAC e se você é membro do grupo Administradores, você pode ser solicitado para consentimento ou para credenciais. Ou talvez você não seja solicitado. Se o UAC conseguir obter direitos administrativos, um processo em segundo plano alterará as permissões na pasta e em todas as subpastas e arquivos para conceder acesso à sua conta de usuário a elas. No Windows Vista e no Windows Server 2008, o processo em segundo plano concede permissões de leitura e execução de sua conta de usuário. Em versões posteriores do Windows, esse processo concede a sua conta de usuário Controle Total.

Este é o comportamento padrão. Mas como o padrão típico com a elevação do UAC é executar uma instância do programa elevado com direitos administrativos, os usuários podem esperar isso selecionando Continuar, o que gerará uma instância elevada do Windows Explorer e não fará alterações permanentes nas permissões do sistema de arquivos. No entanto, essa expectativa não é possível, pois o design do Windows Explorer não dá suporte à execução de várias instâncias de processo em diferentes contextos de segurança em uma sessão interativa do usuário.

Se o UAC estiver desabilitado, a elevação do UAC não será possível. Todos os programas executados por membros do grupo Administradores, incluindo o Windows Explorer, sempre têm direitos administrativos. Portanto, os administradores não precisam usar a elevação para acessar recursos que exigem direitos administrativos. Por exemplo, se uma pasta conceder acesso apenas ao grupo Administradores e à conta do Sistema, um administrador poderá navegá-la diretamente sem ser solicitado a alterar as permissões da pasta. Se o usuário não tiver permissões de leitura, o Windows Explorer exibirá a caixa de diálogo descrita anteriormente. No entanto, se o UAC estiver desabilitado, o Windows não poderá solicitar credenciais administrativas para o usuário por meio de um prompt de elevação do UAC. Portanto, o Windows não iniciará um processo em segundo plano com permissões administrativas para alterar as permissões do sistema de arquivos.

No entanto, se o usuário selecionar Continuar e o descritor de segurança atual da pasta conceder a permissão do usuário para ler e alterar as permissões do objeto, o Windows iniciará o processo em segundo plano no contexto de segurança atual do usuário e modificará as permissões da pasta para conceder ao usuário maior acesso, conforme descrito anteriormente. O usuário pode ter permissão para ler e alterar as permissões do objeto da propriedade do objeto ou da ACL (lista de controle de acesso) do objeto.

Problemas conhecidos

Esse recurso pode causar um comportamento inesperado. Por exemplo, suponha que você pertença ao grupo Administradores e que use o Windows Explorer para acessar uma pasta que requer acesso administrativo. Depois que as permissões forem alteradas, qualquer programa que esteja em execução por meio de sua conta de usuário poderá ter controle total da pasta, mesmo que o programa não seja elevado e mesmo depois de sua conta ter sido removida do grupo Administradores. Essas permissões alteradas podem violar as políticas de segurança de uma organização e podem ser sinalizadas em uma auditoria de segurança. Além disso, se um programa verificar as permissões do sistema de arquivos, ele poderá se recusar a ser executado se as permissões tiverem sido alteradas.

O UAC deve permanecer habilitado em todos os casos, exceto sob as circunstâncias restritas descritas em Como desabilitar o Controle de Conta de Usuário (UAC) no Windows Server.

Solução alternativa 1

Para evitar a alteração de permissões em uma pasta acessível apenas aos administradores, considere usar outro programa que possa executar elevado em vez de usar o Windows Explorer. Exemplos incluem Prompt de Comando, PowerShell e o snap-in MMC de Gerenciamento de Computadores para gerenciamento de compartilhamento.

Solução alternativa 2

Se você tiver uma pasta específica do aplicativo bloqueada para impedir que usuários comuns a acessem, você também poderá adicionar permissões para um grupo personalizado e adicionar usuários autorizados a esse grupo. Por exemplo, considere um cenário em que uma pasta específica do aplicativo concede acesso apenas ao grupo Administradores e à conta do Sistema. Nessa situação, crie um domínio ou um grupo local do AppManagers e adicione usuários autorizados a ele. Em seguida, use um utilitário como icacls.exe, a guia de segurança da caixa de diálogo Propriedades da pasta ou o cmdlet Set-Acl do PowerShell para conceder ao grupo AppManagers Controle Completo da pasta, além das permissões existentes.

Os usuários que são membros do AppManagers podem usar o Windows Explorer para navegar na pasta sem que o UAC precise alterar as permissões da pasta. Essa alternativa se aplica apenas a pastas específicas do aplicativo. Você nunca deve fazer alterações de permissão em pastas que fazem parte do sistema operacional Windows, como C:\Windows\ServiceProfiles.