Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fornisce una soluzione a un problema quando si seleziona Continua per ottenere l'accesso a una cartella del file system per cui non si dispone delle autorizzazioni di lettura.
Numero KB originale: 950934
Introduzione
Questo articolo descrive uno scenario in cui Esplora risorse richiede di selezionare Continua per ottenere l'accesso a una cartella del file system per cui non si dispone delle autorizzazioni di lettura. Descrive anche le soluzioni alternative per evitare aspetti specifici di questo comportamento. Questo problema si verifica in Windows Vista e versioni successive di Windows e in Windows Server 2008 e versioni successive di Windows Server. Esplora risorse viene chiamato Esplora file in Windows 8 e versioni successive.
Ulteriori informazioni
Si supponga che Il controllo dell'account utente sia abilitato e si usi Esplora risorse per accedere a una cartella per cui non si dispone delle autorizzazioni di lettura. Inoltre, la cartella non è contrassegnata dagli attributi Hidden e System. In questo caso, Esplora risorse visualizza una finestra di dialogo che richiede il messaggio seguente:
Attualmente non si dispone dell'autorizzazione per accedere a questa cartella. Fare clic su Continua per ottenere in modo permanente l'accesso a questa cartella.
Note
In Windows Vista e Windows Server 2008 la seconda frase non include la parola in modo permanente; è sufficiente fare clic su Continua per ottenere l'accesso a questa cartella.
È quindi possibile selezionare Continua o Annulla. L'opzione Continua è selezionata per impostazione predefinita. Se si seleziona Continua, controllo dell'account utente tenta di ottenere diritti amministrativi per conto dell'utente. A seconda delle impostazioni di sicurezza di Controllo dell'account utente che controllano il comportamento della richiesta di elevazione dell'account utente e se si è membri del gruppo Administrators, potrebbe essere richiesto il consenso o le credenziali. In alternativa, potrebbe non essere richiesto affatto. Se il controllo dell'account utente può ottenere diritti amministrativi, un processo in background modificherà le autorizzazioni per la cartella e in tutte le relative sottocartelle e file, per concedere l'accesso all'account utente. In Windows Vista e Windows Server 2008, il processo in background concede all'account utente le autorizzazioni Lettura ed Esecuzione. Nelle versioni successive di Windows, questo processo concede all'account utente controllo completo.
Questo comportamento è impostato a livello di progettazione. Tuttavia, poiché il modello tipico con elevazione controllo dell'account utente consiste nell'eseguire un'istanza del programma con privilegi amministrativi con diritti amministrativi, gli utenti potrebbero aspettarsi che selezionando Continua, che genererà un'istanza con privilegi elevati di Esplora risorse e non apporta modifiche permanenti alle autorizzazioni del file system. Tuttavia, questa aspettativa non è possibile, poiché la progettazione di Esplora risorse di Windows non supporta l'esecuzione di più istanze di processo in contesti di sicurezza diversi in una sessione utente interattiva.
Se controllo dell'account utente è disabilitato, l'elevazione dell'account utente non è possibile. Tutti i programmi eseguiti dai membri del gruppo Administrators, inclusi Esplora risorse, hanno sempre diritti amministrativi. Gli amministratori non devono quindi usare l'elevazione dei privilegi per accedere alle risorse che richiedono diritti amministrativi. Ad esempio, se una cartella concede l'accesso solo al gruppo Administrators e all'account di sistema, un amministratore può sfogliarlo direttamente senza che venga richiesto di modificare le autorizzazioni della cartella. Se l'utente non dispone delle autorizzazioni di lettura, Esplora risorse visualizza la finestra di dialogo descritta in precedenza. Tuttavia, se controllo dell'account utente è disabilitato, Windows non può richiedere credenziali amministrative per l'utente tramite una richiesta di elevazione dell'account utente. Windows non avvierà quindi un processo in background con autorizzazioni amministrative per modificare le autorizzazioni del file system.
Tuttavia, se l'utente seleziona Continua e il descrittore di sicurezza corrente della cartella concede all'utente l'autorizzazione per la lettura e la modifica delle autorizzazioni dell'oggetto, Windows avvierà il processo in background nel contesto di sicurezza corrente dell'utente e modificherà le autorizzazioni della cartella per concedere all'utente un accesso maggiore, come descritto in precedenza. L'utente può avere l'autorizzazione per leggere e modificare le autorizzazioni dell'oggetto dalla proprietà dell'oggetto o dall'elenco di controllo di accesso (ACL) dell'oggetto.
Problemi noti
Questa funzionalità può causare un comportamento imprevisto. Si supponga, ad esempio, di appartenere al gruppo Administrators e di usare Esplora risorse per accedere a una cartella che richiede l'accesso amministrativo. Dopo aver modificato le autorizzazioni, qualsiasi programma in esecuzione tramite l'account utente può avere il controllo completo della cartella, anche se il programma non è elevato e anche dopo che l'account è stato rimosso dal gruppo Administrators. Tali autorizzazioni modificate possono violare i criteri di sicurezza di un'organizzazione e possono essere contrassegnate in un controllo di sicurezza. Inoltre, se un programma verifica le autorizzazioni del file system, può rifiutare l'esecuzione se le autorizzazioni sono state modificate.
Controllo dell'account utente deve rimanere abilitato in tutti i casi, ad eccezione delle circostanze vincolate descritte in Come disabilitare il controllo dell'account utente in Windows Server.
Soluzione alternativa 1
Per evitare di modificare le autorizzazioni in una cartella accessibile solo agli amministratori, è consigliabile usare un altro programma che può essere eseguito con privilegi elevati anziché usare Esplora risorse. Alcuni esempi includono prompt dei comandi, PowerShell e lo snap-in MMC Gestione computer per la gestione delle condivisioni.
Soluzione alternativa 2
Se si dispone di una cartella specifica dell'applicazione bloccata per impedire agli utenti ordinari di accedervi, è anche possibile aggiungere autorizzazioni per un gruppo personalizzato e quindi aggiungere utenti autorizzati a tale gruppo. Si consideri ad esempio uno scenario in cui una cartella specifica dell'applicazione concede l'accesso solo al gruppo Administrators e all'account di sistema. In questo caso, creare un dominio o un gruppo AppManagers locale e quindi aggiungervi utenti autorizzati. Usare quindi un'utilità come icacls.exe, la scheda sicurezza della finestra di dialogo Proprietà della cartella o il cmdlet Set-Acl di PowerShell per concedere al gruppo AppManagers Controllo completo della cartella, oltre alle autorizzazioni esistenti.
Gli utenti che sono membri di AppManager possono usare Esplora risorse per esplorare la cartella senza dover modificare le autorizzazioni della cartella.Users who are members of AppManagers can use Windows Explorer to browse the folder without UAC having to change the folder's permissions. Questa alternativa si applica solo alle cartelle specifiche dell'applicazione. È consigliabile non apportare mai modifiche alle autorizzazioni apportate alle cartelle che fanno parte del sistema operativo Windows, ad esempio C:\Windows\ServiceProfiles.