Udostępnij za pośrednictwem

Kopiowanie plików z zamapowanego dysku do katalogu lokalnego kończy się niepowodzeniem z powodu błędu (lokalizacja jest niedostępna), jeśli kontrola konta użytkownika jest włączona

Ten artykuł rozwiązuje problem z błędem Lokalizacja jest niedostępna podczas próby skopiowania plików z zamapowanego dysku.

Oryginalny numer KB: 2019185

Symptomy

Po włączeniu kontroli konta użytkownika (UAC) podczas próby skopiowania pliku z zamapowanego dysku do katalogu lokalnego może wystąpić następujący błąd:

Lokalizacja jest niedostępna
<Zamapowana litera> dysku\ odnosi się do lokalizacji, która jest niedostępna. Może to być na dysku twardym na tym komputerze lub w sieci. Upewnij się, że dysk jest poprawnie wstawiony lub czy masz połączenie z Internetem lub z siecią, a następnie spróbuj ponownie. Jeśli nadal nie można go znaleźć, informacje mogły zostać przeniesione do innej lokalizacji.

Przyczyna

Podstawową przyczyną jest kontrola konta użytkownika i interakcja z podzielonym tokenem. Gdy administrator zaloguje się na maszynie z włączonym trybem zatwierdzania przez administratora (AAM), użytkownik otrzymuje dwa tokeny dostępu:

  • pełny token dostępu administratora
  • filtrowany token dostępu użytkownika standardowego

Domyślnie, gdy członek lokalnej grupy Administratorzy zaloguje się, uprawnienia administracyjne systemu Windows są wyłączone i podniesione prawa użytkownika są usuwane. Powoduje to użycie standardowego tokenu dostępu użytkownika. Standardowy token dostępu użytkownika jest następnie używany do uruchamiania pulpitu (Explorer.exe). Explorer.exe jest procesem nadrzędnym, z którego wszystkie inne procesy inicjowane przez użytkownika dziedziczą token dostępu. W związku z tym wszystkie aplikacje są domyślnie uruchamiane jako użytkownik standardowy, chyba że użytkownik wyrazi zgodę lub poświadczenia, aby zatwierdzić aplikację w celu korzystania z pełnego tokenu dostępu administracyjnego. Kontrastując z tym procesem, gdy użytkownik standardowy się zaloguje, jest tworzony tylko standardowy token dostępu użytkownika. Ten standardowy token dostępu użytkownika jest następnie używany do uruchamiania pulpitu.

Aby wystąpił błąd, należy stosować następujące warunki:

  1. Kontrola konta użytkownika jest włączona w usłudze AAM.
  2. Użytkownik nie jest zalogowany jako administrator komputera lokalnego ani przy użyciu poświadczeń konta administratora domeny.
  3. Dysk jest mapowany przy użyciu standardowego kontekstu zabezpieczeń użytkownika.
  4. Użytkownicy nie mają uprawnień do tworzenia/zapisu systemu plików NTFS w katalogu docelowym.

Użytkownik mapował dysk przy użyciu opcji Mapowanie dysku sieciowego w Eksploratorze Windows lub uruchamiając net use polecenie w wierszu polecenia bez podwyższonych uprawnień. Zamapowane dyski można zobaczyć, uruchamiając polecenie net use as a standard user from a non-elevated wiersza polecenia. W tym przypadku dysk został zamapowany jako użytkownik standardowy.

C:\Users\johnsmith>net use
New connections will be remembered.
Status      Local     Remote                    Network
-------------------------------------------------------------------------------
OK          X: [\\contoso-dc1\d$](file://contoso-dc1/d$)               Microsoft Windows Network
The command completed successfully.

Uruchomienie tego samego polecenia w wierszu polecenia z podwyższonym poziomem uprawnień nie ma na liście zamapowanego dysku.

C:\Windows\system32>net use
New connections will be remembered.
There are no entries in the list.

Wyraźnie pokazuje, że sesja z podwyższonym poziomem uprawnień nie widzi zamapowanego dysku użytkownika standardowego. Nie może więc ukończyć operacji kopiowania. Wynika to z ustawienia fabrycznego.

Uwaga 16.

Domyślnie usługa AAM jest włączona dla kont, które są członkami lokalnej grupy Administratorzy. Ustawienie można znaleźć w węźle Opcje zabezpieczeń zasad lokalnych w obszarze Ustawienia zabezpieczeń i można go skonfigurować za pomocą Edytora lokalnych zasad grupy (secpol.msc) i konsoli zarządzania zasadami grupy (GPMC) (gpedit.msc). Aby uzyskać więcej informacji na temat kontroli konta użytkownika, zobacz Kontrola konta użytkownika.

Rozwiązanie

  1. Mapuj dysk przy użyciu procesu z podwyższonym poziomem uprawnień. Jednak Eksplorator Windows nie będzie widzieć mapowania dysków z podwyższonym poziomem uprawnień. Aby uzyskać więcej informacji, zobacz sekcję Więcej informacji .

    Kontrola konta użytkownika w systemie Windows 7

  2. Użyj ścieżki UNC, aby nawiązać połączenie z zasobami sieciowymi, na przykład \\server\share.

  3. Użyj preferencji zasad grupy do mapowania dysków. W poniższym dokumencie przedstawiono preferencje zasad grupy, które są nową funkcją w systemie Windows Server 2008. W białej księdze opisano sposób używania preferencji zasad grupy w celu lepszego wdrażania systemu operacyjnego i ustawień aplikacji oraz zarządzania nimi. Preferencje zasad grupy umożliwiają konfigurowanie, wdrażanie i zarządzanie ustawieniami systemu operacyjnego i aplikacji, którymi wcześniej nie można było zarządzać przy użyciu zasad grupy. Przykłady obejmują zamapowane dyski, zaplanowane zadania i ustawienia menu Start. W przypadku wielu typów ustawień systemu operacyjnego i aplikacji użycie preferencji zasad grupy jest lepszą alternatywą dla konfigurowania ich na obrazach systemu Windows lub przy użyciu skryptów logowania.

    Preferencje zasad grupy — omówienie

  4. Mapuj dyski ze skryptem logowania, który używa skryptu launchapp.wsf do planowania poleceń przy użyciu harmonogramu zadań. Poniższy dokument ułatwia sortowanie nowych i zaktualizowanych funkcji dostępnych w systemie Windows Vista. Zawiera również wiele najlepszych rozwiązań, które ułatwiają wdrażanie zasad grupy.

    Wdrażanie zasad grupy przy użyciu systemu Windows Vista

  5. W poniższym artykule opisano nieobsługiwaną metodę, która przywraca zmianę zabezpieczeń opisaną wcześniej przez skonfigurowanie EnableLinkedConnections wartości rejestru. Ta wartość umożliwia systemowi Windows Vista udostępnianie połączeń sieciowych między filtrowany token dostępu a pełnym tokenem dostępu administratora dla członka grupy Administratorzy. Po skonfigurowaniu tej wartości rejestru LSA sprawdza, czy inny token dostępu jest skojarzony z bieżącą sesją użytkownika, jeśli zasób sieciowy jest mapowany na token dostępu. Jeśli LSA ustali, że istnieje połączony token dostępu, dodaje udział sieciowy do połączonej lokalizacji.

    Programy mogą nie mieć dostępu do niektórych lokalizacji sieciowych po włączeniu kontroli konta użytkownika w systemie Windows Vista lub nowszych systemach operacyjnych

Więcej informacji

Gdy użytkownik administracyjny zaloguje się do usługi, system Windows przetwarza skrypty logowania przy użyciu tokenu z podwyższonym poziomem uprawnień. Skrypt działa i mapuje dysk. Jednak system Windows blokuje widok zamapowanych dysków sieciowych, ponieważ na pulpicie jest używany filtrowany token podczas mapowania dysków przy użyciu tokenu z podwyższonym poziomem uprawnień (pełny administrator).

Przed systemem Windows 2000 z dodatkiem SP2 nazwy urządzeń (na przykład zamapowane dyski) pozostały globalnie widoczne do momentu jawnego usunięcia lub ponownego uruchomienia systemu. Ze względów bezpieczeństwa zmodyfikowaliśmy to zachowanie, począwszy od systemu Windows 2000 z dodatkiem SP2. Od tego momentu wszystkie urządzenia są skojarzone z identyfikatorem uwierzytelniania (LUID). LUID to identyfikator wygenerowany dla każdej sesji logowania. Proces uruchomiony w kontekście LocalSystem może utworzyć nazwę urządzenia w globalnej przestrzeni nazw urządzeń, chociaż lokalne obiekty przestrzeni nazw mogą ukrywać globalne obiekty przestrzeni nazw.

Te zamapowane dyski są skojarzone z identyfikatorem LUID. Ponadto aplikacje z podwyższonym poziomem uprawnień używają innego identyfikatora LUID wygenerowanego podczas oddzielnego zdarzenia logowania. Dlatego aplikacja z podwyższonym poziomem uprawnień nie będzie już widzieć żadnych zamapowanych dysków dla tego użytkownika. Zauważysz to samo zachowanie, które wcześniej używało RunAs lub interfejsu CreateProcessAsUser API, ale kontrola konta użytkownika znacznie zwiększa liczbę użytkowników, którzy będą używać tych pojęć.

Wynikiem jest to, że w przypadku podniesienia poziomu wiersza polecenia nie zobaczysz już żadnych lokalnych mapowanych dysków przestrzeni nazw utworzonych na podstawie oryginalnego identyfikatora logowania (niezależnie od tego, czy został utworzony za pomocą skryptu logowania, przy użyciu interfejsu WNetAddConnection API, czy w inny sposób). Istnieje ograniczenie ryzyka dla scenariusza uruchamiania z Poziomu Eksploratora Windows. Jeśli klikniesz dwukrotnie plik wykonywalny, który zostanie wykryty jako plik instalacyjny lub zostanie wyświetlony jako wymaganeAdministrator, system Windows może wykryć, że został podwyższony poziom uprawnień i że wystąpił błąd wskazujący, że ścieżka nie została znaleziona, i skopiuj mapowanie tego dysku z oryginalnego identyfikatora LUID. Jest to jednak jedyny scenariusz, który jest zautomatyzowany.