День добрый.

Вопрос такой:
Нифига не понятно, как так получается, если в папке лежит зип, на папку даны права администраторам, и я, являясь пользователем входящим в группу админимстраторов, не могу раззиповать в папке архив?.. Добавляю непосредственно себя в листе доступа в папке, всё распаковывается. В чём отличие тогда назначение прав на группу, а непосредственно на юзера?...




где можно взять почитать (посоветуйте книги, ссылки) про группы пользователей в винде. непонятно просто какие права у какой группы, для чего какая группа, хочется всё подробно и... на русском

заранее спасибо..

Aналогичный вопрос уже задавался на форуме. Воспользуйтесь фильтрами (http://tools.oszone.net/Vadikan/faq.html#filters) по названию темы по права.

http://oszone.net/user_img/050214130343/filters.png

Результат (http://forum.oszone.net/forumdisplay.php?f=95&filter_string=права&filter_by=title)

или доступ.

Результат (http://forum.oszone.net/forumdisplay.php?f=95&filter_string=доступ&filter_by=title)

Хороший совет.
только вот я уже до вас искал и там нет того, что мне нужно.

Это читали:
Принцип работы "Контроля учетных записей пользователей" в Windows 7 (http://www.oszone.net/10500/uac_windows7_1)
Контроль учетных записей в Windows 7 и Windows Server 2008 R2 (http://www.oszone.net/10169/UAC)
Как получить доступ к файлам, папкам, разделам реестра в Windows Vista и Windows 7 (http://www.oszone.net/7836/)

прочитали, ответа на вопрос там не содержится.
там соджержатся общие сведения, которые мне известны.

Ingolder, сделайте скриншот вкладки Безопасность данной папки при возникновении проблемы? В какие группы помимо администраторов входит проблемный пользователь?

Вот права админов в папке с нужным файлом:
http://savepic.ru/968267.jpg
В свойствах самого файла проверял, эти же права наследуются; так же пробовал рвать наследование и задавать вручную.


Нужный пользователь, залогиненный в винде, который пытается распаковать архив, член группы администраторов:
http://savepic.ru/974411.jpg

И вот что он получает, когда пытается распаковать:
http://savepic.ru/972363.jpg

Если же Указать его непосредственно:
http://savepic.ru/960075.jpg
то всё будет распаковываться без сучка и задоринки.

Данная ситуация относится не только к распаковыванию файлов, но и работе таких программ, которые вообще что-либо мало-мальски опасное делают - (например DC++ без непосредственных прав пользователя не будет ничего качать).

Непонятна логика. как это - в группу администраторов включён, группе дан полный доступ, а толку никакого...


И так же непонятно, какой и к чему доступ у каждой группы пользователей. и нигде тут в статьях я не нашёл этого...

Ingolder, UAC включен? Наблюдается ли проблема при выключенном UAC?

UAC включён. наличие этой проблемы при выключенном UAC не знаю. чуть позже попробую, выключу, напишу.
Но мне не хочется, чтобы отключение UAC входило в решение этой проблемы.

Ingolder, скажите, а есть ли насущная необходимость для записи пользователем данных в эту папку?

насущная необходимость есть в том, чтобы разобраться, как оно работает. Это самая нассущная.
По факту, такие права на все папки и файлы на всём жёстком диске. Ну да, не принципиально для большинства программ.. но проблема-то глобальная. Одна программа на работает, другая не распаковывает, третья не скачивает, четвёртая не запускается вообще... Ну, да, можно одним махом добавить моего пользователя, дать ему фулл контрол, да и дело в топку. Проблема в том, что я хочу разобраться в этом.

Проблема в том, что я хочу разобраться в этом. »
Это понятно. наличие этой проблемы при выключенном UAC не знаю. чуть позже попробую, выключу, напишу. »
Напишите

С выключенным UAC достаточно фулл контрола на группу администраторов в папке, чтобы всё нормально работало и извлекалось.
с включенным UAC если только группе админов дан фулл контрол (все остальные отсутствуют), то даже в папку не зайдёшь... не то что там.. но винда не спрашивает повышения привилегий, она просто недаёт нормально работать.

с включенным UAC если только группе админов дан фулл контрол (все остальные отсутствуют), то даже в папку не зайдёшь... не то что там.. но винда не спрашивает повышения привилегий »
Странно... При входе администратора в папку, на которую требуются полные права, должно появляться предложение зайти с правами администратора... У вас все это происходит на системном разделе? В какой конкретно папке?

И наконец, я вроде уже второй раз прошу вас подробно сформулировать задачу. Не то, чего вы пытаетесь добиться напролом, а общую картину.

да, прошу прощения, не точно выразился.
Если на папку даны права только группе администраторов, и UAC включён, то при попытке войти в неё он спросит разрешения администратора, и если его удовлетворить, то он естественно на всю папку добавит текущего пользователя с папаметрами фулл контрол, и соответственно всё будет работать. А вот если на папку даны права не только группе администраторов, но и например Users и Authenticated users, то в папку он зайдёт без проблем а вот распаковать (и пр.) он не сможет. В этом месте - непонятно - почему винда не даёт распаковать (и прочее.. ), если текущий пользователь входит в группу администраторов? (а не избавиться от проблемы, выключая uac, или задавая права на папку. Проблема в понимании происходящего, а не в неработоспособности программ)

P.s. кстати, проверял: если на папку даны права только группе администраторов, то встроенный локальный администратор там может распаковывать всё как надо и выполнять всё что угодно, а вот другие члены группы администраторов, как видите, нет...


Формулирую конкретнее задачу:
1) прошу вас всех, уважаемые форумчане, ответить на вопрос, выделенный выше жирным. Мне не понятен данный механизм; помогите пожалуйста мне его понять, как оно работает. Я как-бы предполагал, что если пользователь входит в какую-либо группу, то на него действуют правила этой группы. Про явные и неявные запреты рассказывать не нужно - в общем теория мне хорошо знакома. Я не понимаю конкретно взятый случай - он противоречийт моему пониманию.

2) а так же объяснить мне (дать ссылки, посоветовать литературу, итд) :
- где узнать, какие права\привилегии даны всем группам пользователей(и админов, итд.), которые находятся по умолчанию в виндовсе. Непонятно, группы есть разные и всякие, а конкретно что им разрешено и запрещено - не видно.

собственно, всё это я написал в первом сообщении. уж не знаю, как понятнее.
Спасибо :)




p.s. причём вот фигня то какая, если мой пользователь находится только в группе администраторов, и на папку дан фулл контрол этой группе, то он туда не попадёт (если не удовлетворит запрос винды, которая даст непосредственно на пользователя фулл контрол). А если на папку помимо группы администраторов добавить ещё и группу Users (в которую мой пользователь не входит (проверял!) ), то он в папку заходить БУДЕТ! ничего не понимаю, как это так оно васё получается?...

почему винда не даёт распаковать (и прочее.. ), если текущий пользователь входит в группу администраторов? »
Получается, вас теория интересует - подход чисто научный :) Кратко - потому что группа администраторов еще не означает полных прав администраторов. Ок, я попробую объяснить подробнее :)

Забудьте на минуту о том, в какую группу входит учетная запись. Исходите лишь из того, есть ли у нее полные административные права (ПАП), т.е. пройден контроль учетных записей или нет.

Проводник всегда работает в контексте обычного пользователя. Когда вы открываете в проводнике папку, для доступа в которую нужны ПАП, ОС предлагает их подтвердить. Когда вы запускаете архиватор, он тоже запускается с обычными правами, но при распаковке, т.е. записи в папку, ничего не предлагается подтвердить. Чтобы распаковать в такую папку, нужно сразу запустить архиватор от имени администратора.

С другой стороны, если вы распакуете файл в папку в пределах своего профиля, а потом скопируете его в папку, для которой требуются ПАП, все будет ок - при копировании будет окно UAC.

У медали есть и третья сторона :) Это виртуализация папок. Если в папке, на которую нужны ПАП, находится некое приложение (написанное без учета UAC), то оно может "сломаться", если попытается сохранить какой-нибудь собственный файл (например, настройки) без достаточных прав. Чтобы этого не происходило, операция записи производится в виртуальное хранилище в профиле пользователя - т.е. приложение "думает", что все прошло нормально и отныне видит этот файл именно в виртуальном хранилище. Отличие от распаковки тут в том, что если вам отказано в доступе, вы всегда можете выбрать другую папку. А вот в приложении такая возможность может быть не предусмотрена.

Вот такую роль играет UAC в совместимости приложений.

Литература:
Контроль учетных записей в Windows 7 и Windows Server 2008 R2 (http://www.oszone.net/10169/UAC)
Принцип работы "Контроля учетных записей пользователей" в Windows 7 (http://www.oszone.net/10500/uac_windows7_1)

Всё то , что вы рассказали, мне и так было ясно, и теперь это конечно стало ещё яснее, но всё-таки я не могу понять :Забудьте на минуту о том, в какую группу входит учетная запись. Исходите лишь из того, есть ли у нее полные административные права (ПАП), т.е. пройден контроль учетных записей или нет. »

разве не этим ли определяются права учётной записи? если не тем, в какую группу она входит, то тогда весь механизм групп просто теряет смысл. Вот в этом главный вопрос и загвоздка.



а на второй вопрос .. ответа не было :)

Всё то , что вы рассказали, мне и так было ясно »
Извините, но я сомневаюсь в этом, исходя из задаваемых вами вопросов. Да, права определяются принадлежностью к группе, но при вкл. UAC пользовательские процессы и приложения работают с правами обычного пользователя, даже если пользователь входит в группу администраторы. Честно говоря, я не знаю, как это еще сформулировать более доступно, тем более что в двух указанных мной статьях это повторяется неоднократно, да и описано все очень подробно.

а на второй вопрос .. ответа не было »
Я не знаю точного ответа на ваш вопрос применительно к 7. В библиотеке Microsoft Technet есть эта информация применительно к Server 2008, наверное. Сходу я ее не нашел, но она должна быть - так что поищите - groups, rights, Privileges - в этом ключе. Будет время, я посмотрю еще. Но это не имеет никакого отношения к вашей проблеме - вам нужно понять принцип работы UAC, который вам вроде как уже ясен :)

Vadikan, вы весьма чётко излагаетесь, видимо это я плохо доношу до вас свой вопрос.

...но при вкл. UAC пользовательские процессы и приложения работают с правами обычного пользователя, даже если пользователь входит в группу администраторы »
повторяю:
Замечательно, но тогда получается, что при включённом UAC смысл технологии применения групп - теряется? :)


особенно теряется смысл при непонимании второго вопроса - какие группы позволяют работать пользователю с правами обычного пользователя », а какие - с правами "необычного". Вот и встаёт вопрос о группах...

:) спасибо за ваши ответы

Замечательно, но тогда получается, что при включённом UAC смысл технологии применения групп - теряется? »
Нет, конечно. UAC использует группы... Если вы запустите ком. строку с от имени администратора под обычным пользователем, UAC предложет ввести учетные данные администратора. Если под администратором, только подтвердить запрос. Система правильно определяет принадлежность учетной записи к группе безопасности.

особенно теряется смысл при непонимании второго вопроса - какие группы позволяют работать пользователю
Цитата Vadikan:с правами обычного пользователя »
, а какие - с правами "необычного". Вот и встаёт вопрос о группах... »
Вопрос поставлен некорректно, ибо нет прав необычного. Есть права администратора. С ними позволяет работать группа Администраторы. Но до тех пор, пока вы не уясните, что если права администратора не требуются, администраторы выполняют свои задачи с правами обычного пользователя, вы не продвинетесь ни на йоту в понимании проблемы.

Права пользователя определяются принадлежностью к группе безопасности. Ок, еще раз. Есть два пользователя - А (гр. Пользователи) и Б - группа Администраторы. Оба пользователя пытаются скопировать файл с рабочего стола в Program Files, для записи в которую нужны полные права администратора.

UAC выключен:
Пользователь A получает сообщение "Доступ запрещен" - у него нет прав.
Пользователь Б копирует файл сразу/

UAC включен:
Пользователь А получает запрос UAC с предложением ввести административные учетные данные. Если их нет, операция не выполняется.
Пользователь Б получает запрос UAC на подтверждение операции, после чего копирует файл.