Једно од значајних безбедносних побољшања за Виндовс оперативни систем (почев од Висте) било је увођење функције контроле корисничких налога (УАЦ). Контрола корисничког налога тражи корисничку потврду сваки пут када се покрене програм који покушава да промени поставке система. Једна од нуспојава УАЦ је немогућност приступа повезаном (кроз нето употреба) мрежне погоне из апликација које раде у привилегованом режиму (Покрени као администратор). То значи да када покренете командну линију или управитељ датотека (истог Тотал Цоммандер-а) са повишеним правима, они неће садржавати (недоступна) слова погона монтираних мрежних мапа.
У овој напомени показаћемо како у Виндовсима 10, Виндовс 8.1 и Виндовс 7 одобрити приступ мрежним дисковима из апликација које раде у привилегованом режиму (покрените се као администратор). Проблем се манифестује како за мрежне мапе повезане путем групних политика, тако и за директоријуме повезаних корисника.
Важно је. Изузетно је обесхрабрено да потпуно онемогућите УАЦ, чак и за једну конкретну апликацију.Заиста, када је УАЦ омогућен из "привилеговане" апликације у Виндовс-у, не можете да приступите мрежном погону повезаном у нормалном режиму. Покажимо како проблем изгледа. На пример, проверите да ли у командној линији покренутој са правима редовног корисника система имате приступ садржају повезаног мрежног погона З: \.
Ако се у контексту истог корисника отвори прозор наредбеног ретка са правима администратора, када покушате да приступите истом погону, појављује се порука да наведени пут није пронађен:
Систем не може да нађе наведену путању..
Овакво понашање система може проузроковати бројне непријатности када се апликације често покрећу у привилегованом режиму. Можете покренути апликације без привилегија администратора, али то није увек применљиво.
Зашто се ово дешава? Ова функција је повезана са УАЦ механизмом за корисника са локалним администраторима. Чињеница је да када се такав корисник пријави у систем, стварају се два приступна токена: један приступни токен с онемогућеним административним правима (филтрирани приступни токен - из којег се покреће већина програма) и пуноправни администраторски токен с пуним правима у систему (у овом контексту сви програми који су добили потврду о повишењу права у УАЦ-у се извршавају).
Ако користите команду вхоами / све упоредите тренутне привилегије истог корисника у две сесије цмд.еке (редовне и привилеговане), можете видети да се оне веома разликују. Следећа табела наводи разлике у групама и тренутним акредитивима у свакој сесији..
| Редовна сесија корисника | Привилегована сесија корисника | |
| Приступна група | Ознака обавезне \ Средња ознака обавезног нивоа С-1-16-8192 | Ознака обавештења \ Ознака високог обавезног нивоа С-1-16-12288 |
| Привилегије | СеЛоцкМемориПривилеге СеМацхинеАццоунтПривилеге СеСхутдовнПривилеге СеЦхангеНотифиПривилеге СеУндоцкПривилеге СеИнцреасеВоркингСетПривилеге СеТимеЗонеПривилеге | СеЛоцкМемориПривилеге СеИнцреасеКуотаПривилеге СеМацхинеАццоунтПривилеге СеСецуритиПривилеге СеТакеОвнерсхипПривилеге СеЛоадДриверПривилеге СеСистемПрофилеПривилеге СеСистемтимеПривилеге СеПрофилеСинглеПроцессПривилеге СеИнцреасеБасеПриоритиПривилеге СеЦреатеПагефилеПривилеге СеБацкупПривилеге СеРестореПривилеге СеСхутдовнПривилеге СеСистемЕнвиронментПривилеге СеЦхангеНотифиПривилеге СеРемотеСхутдовнПривилеге СеУндоцкПривилеге СеМанагеВолумеПривилеге СеИмперсонатеПривилеге СеЦреатеГлобалПривилеге СеИнцреасеВоркингСетПривилеге СеТимеЗонеПривилеге СеЦреатеСимболицЛинкПривилеге СеДелегатеСессионУсерИмперсонатеПривилеге |
Када је омогућен УАЦ, апликације под истим корисником могу се покренути у два контекста (привилеговани и непривилеговани). При повезивању дељених мрежних мапа систем ствара симболичке везе (ДосДевицес), које чувају пресликавање слова погона и УНЦ стаза. Ове везе су повезане са тренутном сесијом за тренутни приступни токен процеса и нису доступне из другог токена.
Сходно томе, може се јавити и супротан проблем: ако корисник има администраторска права на свом рачунару, онда када повезујете мрежне погоне путем скрипти за пријаву групних политика, задатака планера или СЦЦМ (који раде са повећаним привилегијама), ти уређаји нису видљиви кориснику у Виндовс Екплореру (непривилеговани процес).
Напомена. На Виндовс Серверу можете да покренете Виндовс Екплорер са повишеним привилегијама.Као решење можете препоручити повезивање (путем нето употреба или рундлл32 СХЕЛЛ32.длл, СХХелпСхортцутс_РунДЛЛ Цоннецт) мрежни погони у контексту наредбеног ретка који се изводи с администраторским привилегијама. Али ово решење није увек применљиво и није баш повољно..
Постоји једноставније решење, за његово спровођење морате да извршите следеће промене у регистру:
- Опен Регистри Едитор (регедит.еке).
- Идите на кључ регистра ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Полициес \ Систем .
- Креирајте нови параметар (типа ДВОРД) са именом ЕнаблеЛинкедЦоннецтионс и вредност 1 .
Савет. То можете учинити и са једном наредбом:рег додајте "ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Полициес \ Систем" / в "ЕнаблеЛинкедЦоннецтионс" / т РЕГ_ДВОРД / д 0к00000001 / ф - Поново покрените рачунар (или поново покрените услугу ЛанманВоркстатион).
Након поновног покретања, проверите да ли корисник види мрежне дискове из програма који се изводе са администраторским правима. Обрнуто је такође тачно, сви мрежни дискови повезани у контексту привилеговане сесије биће доступни у редовној сесији.
Како то функционише. Након омогућавања уноса у регистар ЕнаблеЛинкедЦоннецтионс, ЛанманВоркстатион сервис и ЛСА ће проверити да ли постоји други приступни жетон повезан са тренутном сесијом корисника. Ако се такав приступни токен пронађе, листа мапираних мрежних погона биће копирана из једног токена у други. Тако ће мрежни дискови повезани у привилегованом режиму бити видљиви у нормалном режиму и обрнуто.
Савет. Алтернативно решење је стварање симболичке везе до директорија циљне мреже. На пример, такомклинк / Д ц: \ доцс \\ мск-фс1 \ доцс
Приступ овом директоријуму биће могућ и у нормалном и у привилегованом режиму. Међу недостацима методе напомињемо да се приступ дељеној мапи обавља са привилегијама тренутног корисника. Не можете, као у случају нето коришћења, користити други кориснички налог.
