2 votos

¿Cómo puedo configurar un monitor de rendimiento para crear directorios que no requieren elevación para acceder?

Tengo algunos contadores de rendimiento que escribir a archivos CSV en la ubicación predeterminada (%SYSTEMDRIVE%\Perflogs). Los directorios que crea son "especiales". Cuando intento navegar en ellos, el explorador se queja

enter image description here

Me puede hacer clic en "Continuar" y luego ya no tengo problemas de navegación en los directorios con el explorer.

Sin embargo, si intento acceder a los directorios a través de un sin elevar cmd shell, tengo ACCESS_DENIED. Con una elevada cmd, puedo acceder a los archivos de datos sin problema.

icacls informes acerca del directorio (antes de que me vaya en ello)

MEMTEST2_20190724-000004 NT AUTHORITY\SYSTEM:(OI)(CI)(F)
                         BUILTIN\Administrators:(OI)(CI)(F)
                         BUILTIN\Performance Log Users:(OI)(R)

El usuario estoy ejecutando como es ya en Performance Log Users.

  1. Lo que realmente está sucediendo cuando me "permanentemente obtener acceso a esta carpeta?"
  2. ¿Es este realmente el directorio protegido contra los que no son elevados acceso?
  3. Hay una buena manera de "desproteger" el directorio sin tener que reconfigurar el contador de rendimiento para escribir en una ubicación diferente?
    • He leído esta respuesta, que describe cómo crear un detector de eventos para desproteger el directorio, cuando el contador se inicia. No hay otra manera?

2voto

yulia Puntos 16

Este comportamiento es causado por el Control de Cuentas de Usuario: los procesos a ejecutar (incluyendo Windows Exploradores y CMD) en realidad no tiene derechos administrativos, incluso si usted pertenece al grupo de Administradores, usted tiene que solicitar expresamente a ellos mediante la opción "Ejecutar como Administrador" comando; sin embargo, esto no puede ser hecho por el mismo Explorador de windows, porque siempre se ejecuta, por lo tanto no se puede ejecutar otro, eleveted ejemplo de ello (a menos que matar primero, perdiendo así su concha; esto se puede hacer, pero requiere torpe soluciones).

Sin embargo, el Explorador de Windows en sí es consciente de cómo funciona UAC; por lo tanto, cuando intenta tener acceso a una carpeta, sólo los Administradores tienen acceso y se detecta que son un miembro de los Administradores, pero no se está ejecutando en modo elevado, se trata de ser útil y se le preguntará si desea "permanentemente" acceso a la carpeta; si hace clic en Continue explícito beca AS para su cuenta de usuario se agrega a la carpeta: esto le permite acceder directamente a la carpeta en lugar de depender de sus derechos administrativos, evitando así la UAC.

Lo que me parece desconcertante es, esta es la norma (aunque discutible) de la conducta para el UAC y Explorer, pero esto sólo ocurre cuando los derechos administrativos están involucrados; si usted tiene acceso a una carpeta por pertenecer a una normal (no Administradores) de grupo que pueden acceder a él, UAC no debe involucrarse en todo.

A menos que Windows trata los "Usuarios del Registro de Rendimiento" del grupo como los "Administradores" de grupos tan lejos como UAC se refiere, por lo que se requiere de elevación, para poder usar su membresía; si este es el caso, es nuevo para mí y no puedo encontrar lo que se hace referencia en cualquier lugar.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: