Windows Gezgini'nde klasör erişimi için Devam'ı seçtiğinizde, kullanıcı hesabınız klasörün ACL'sine eklenir

Bu makalede, Okuma izinlerinizin olmadığı bir dosya sistemi klasörüne erişim kazanmak için Devam'ı seçtiğinizde oluşan bir soruna çözüm sağlanır.

Şunlar için geçerlidir: Windows 10 - tüm sürümler, Windows Server 2012 R2
Özgün KB numarası: 950934

Giriş

Bu makalede, Okuma izinlerine sahip olmadığınız bir dosya sistemi klasörüne erişim kazanmak için Windows Gezgini'nin Devam'ı seçmenizi istediğiniz bir senaryo açıklanmaktadır. Ayrıca, bu davranışın belirli yönlerinden kaçınmak için geçici çözümler açıklanır. Bu sorun, Windows Vista ve Windows'un sonraki sürümlerinde ve Windows Server 2008 ve sonraki Windows Server sürümlerinde oluşur. Windows Gezgini, Windows 8 ve sonraki sürümlerde Dosya Gezgini olarak adlandırılır.

Daha fazla bilgi

Kullanıcı Hesabı Denetimi'nin (UAC) etkinleştirildiğini ve Okuma izinlerine sahip olmadığınız bir klasöre erişmek için Windows Gezgini'ni kullandığınızı varsayalım. Ayrıca, klasör hem Gizli hem de Sistem öznitelikleri tarafından işaretlenmez. Bu durumda, Windows Gezgini aşağıdaki iletiyi size soran bir iletişim kutusu görüntüler:

Şu anda bu klasöre erişme izniniz yok. Bu klasöre kalıcı olarak erişmek için Devam'a tıklayın.

Ardından Devam'ı veya İptal'i seçebilirsiniz. (Devam varsayılan olarak seçilidir.) Devam'ı seçerseniz UAC, sizin yerinize yönetim hakları almaya çalışır. UAC yükseltme isteminin davranışını denetleyebilen UAC güvenlik ayarlarına ve Yöneticiler grubunun üyesi olup olmadığınıza bağlı olarak, sizden onay veya kimlik bilgileri istenebilir. Ya da sizden hiç istenmeyebilir. UAC yönetici hakları elde edebilirse, bir arka plan işlemi kullanıcı hesabınıza erişim izni vermek için klasördeki ve tüm alt klasörlerindeki ve dosyalarındaki izinleri değiştirir. Windows Vista ve Windows Server 2008'de, arka plan işlemi kullanıcı hesabınıza Okuma ve Yürütme izinleri verir. Windows'un sonraki sürümlerinde, bu işlem kullanıcı hesabınıza Tam Denetim verir.

Bu davranış tasarımdan kaynaklanır. Ancak UAC yükseltmesi ile tipik desen, yükseltilmiş programın bir örneğini yönetim haklarıyla çalıştırmak olduğundan, kullanıcılar Devam'ı seçerek Windows Gezgini'nin yükseltilmiş bir örneğini oluşturacak ve dosya sistemi izinlerinde kalıcı değişiklikler yapmayacaktır. Ancak, Windows Gezgini'nin tasarımı etkileşimli bir kullanıcı oturumunda farklı güvenlik bağlamlarında birden çok işlem örneğinin çalıştırılmasını desteklemediğinden bu beklenti mümkün değildir.

UAC devre dışı bırakılırsa UAC yükselmesi mümkün değildir. Windows Gezgini de dahil olmak üzere Yöneticiler grubunun üyeleri tarafından çalıştırılan tüm programlar her zaman yönetim haklarına sahiptir. Bu nedenle yöneticilerin yönetim hakları gerektiren kaynaklara erişmek için yükseltme kullanması gerekmez. Örneğin, bir klasör yalnızca Yöneticiler grubuna ve Sistem hesabına erişim izni verirse, yönetici klasörün izinlerini değiştirmesi istenmeden doğrudan bu klasöre göz atabilir. Kullanıcının Okuma izinleri yoksa, Windows Gezgini daha önce açıklanan iletişim kutusunu görüntüler. Ancak UAC devre dışı bırakılırsa Windows, UAC yükseltme istemi aracılığıyla kullanıcı için yönetici kimlik bilgileri isteyemez. Dolayısıyla Windows, dosya sistemi izinlerini değiştirmek için yönetici izinlerine sahip bir arka plan işlemi başlatmaz.

Bununla birlikte, kullanıcı Devam'ı seçerse ve klasörün geçerli güvenlik tanımlayıcısı kullanıcıya nesnenin izinlerini hem okuma hem de değiştirme izni verirse, Windows kullanıcının geçerli güvenlik bağlamında arka plan işlemini başlatır ve daha önce açıklandığı gibi kullanıcıya daha fazla erişim vermek için klasörün izinlerini değiştirir. Kullanıcının nesne sahipliğini veya nesnenin erişim denetimi listesinden (ACL) nesnenin izinlerini okuma ve değiştirme izni olabilir.

Bilinen sorunlar

Bu özellik beklenmeyen davranışlara neden olabilir. Örneğin, Yöneticiler grubuna ait olduğunuzu ve yönetici erişimi gerektiren bir klasöre erişmek için Windows Gezgini'ni kullandığınızı varsayalım. İzinler değiştirildikten sonra, kullanıcı hesabınız üzerinden çalışan tüm programlar, program yükseltilmemiş olsa bile ve hesabınız Yöneticiler grubundan kaldırıldıktan sonra bile klasör üzerinde tam denetime sahip olabilir. Bu tür değiştirilmiş izinler bir kuruluşun güvenlik ilkelerini ihlal edebilir ve bir güvenlik denetiminde işaretlenebilir. Buna ek olarak, bir program dosya sistemi izinlerini doğrularsa, izinler değiştirilmişse çalıştırmayı reddedebilir.

UAC, Windows Server'da Kullanıcı Hesabı Denetimini (UAC) devre dışı bırakma başlığı altında açıklanan kısıtlanmış koşullar dışında tüm durumlarda etkin kalmalıdır.

Geçici Çözüm 1

Yalnızca yöneticiler tarafından erişilebilen bir klasördeki izinleri değiştirmekten kaçınmak için Windows Gezgini'ni kullanmak yerine yükseltilmiş olarak çalıştırılabilen başka bir program kullanmayı göz önünde bulundurun. Örnek olarak Komut İstemi, PowerShell ve paylaşım yönetimi için Bilgisayar Yönetimi MMC ek bileşeni verilebilir.

Geçici Çözüm 2

Normal kullanıcıların erişmesini önlemek için kilitlenmiş uygulamaya özgü bir klasörünüz varsa, özel bir grup için izinler ekleyebilir ve ardından bu gruba yetkili kullanıcılar ekleyebilirsiniz. Örneğin, uygulamaya özgü bir klasörün yalnızca Yöneticiler grubuna ve Sistem hesabına erişim izni aldığı bir senaryoyu göz önünde bulundurun. Bu durumda, bir etki alanı veya yerel bir AppManagers grubu oluşturun ve sonra buna yetkili kullanıcılar ekleyin. Ardından, icacls.exe, klasörün Özellikler iletişim kutusunun güvenlik sekmesi veya PowerShell Set-Acl cmdlet'i gibi bir yardımcı program kullanarak AppManagers grubuna klasörün Tam Denetimini ve var olan izinlere ek olarak verin.

AppManagers üyesi olan kullanıcılar, UAC'nin klasörün izinlerini değiştirmek zorunda kalmadan klasöre göz atmak için Windows Gezgini'ni kullanabilir. Bu alternatif yalnızca uygulamaya özgü klasörler için geçerlidir. Gibi Windows işletim sisteminin C:\Windows\ServiceProfilesbir parçası olan klasörlerde hiçbir zaman izin değişikliği yapmamalısınız.