當您為 Windows Explorer 中的資料夾存取選取 [繼續] 時,您的使用者帳戶會新增至資料夾的 ACL。

當您選取 [ 繼續 存取您沒有讀取權限的檔系統資料夾] 時,本文提供問題的解決方案。

原始產品版本:   Windows 10-all edition,Windows Server 2012 R2
原始 KB 編號:   950934

簡介

本文說明 Windows Explorer 會提示您選取 [ 繼續 存取您沒有讀取權限的檔系統資料夾] 的情形。 此外,它也會說明避免此行為特定方面的解決方法。 在 windows Vista 和更新版本的 windows 中,以及 windows server 2008 和更新版本的 Windows Server 中,就會發生這個問題。 Windows Explorer 在 Windows 8 和更新版本中稱為「檔案瀏覽器」。

詳細資訊

假設使用者帳戶控制已啟用 (UAC) ,而您使用 Windows Explorer 存取您沒有讀取權限的資料夾。 此外,資料夾不會以 Hidden 和 System 屬性標示。 在此情況下,Windows Explorer 會顯示一個對話方塊,提示您輸入下列訊息:

您目前沒有存取此資料夾的許可權。 按一下 [繼續],永久取得此資料夾的存取權。

注意

在 Windows Vista 和 Windows Server 2008 中,第二個句子不會永久包含該 word;它只是說按一下 [繼續] 即可 取得此資料夾的存取權。

您可以選取 [ 繼續 ] 或 [ 取消]。 預設會選取 [ (繼續]。 ) 如果您選取 [ 繼續],UAC 就會嘗試代表您取得系統管理許可權。 根據控制 UAC 提升提示行為的 UAC 安全性設定,以及是否您是管理員群組的成員,系統會提示您同意或認證。 或者,您可能根本不會收到提示。 如果 UAC 可以取得系統管理許可權,背景程式會變更資料夾的許可權,以及其所有子資料夾和檔案上的許可權,以授與您的使用者帳戶存取權。 在 Windows Vista 和 Windows Server 2008 中,背景程式會授與您的使用者帳戶讀取及執行許可權。 在 Windows 的後續版本中,此程式會授與您的使用者帳戶「完全控制」許可權。

產生此錯誤是系統刻意為之。 不過,由於 UAC 提升的典型模式是使用系統管理許可權執行提升的程式實例,因此使用者可能會期望選取 [ 繼續],這樣會產生更高的 Windows Explorer 實例,而不會對檔案系統許可權進行永久變更。 不過,這項預期不是可行的,因為 Windows Explorer 設計不支援在互動式使用者會話中的不同資訊安全內容中執行多個程式實例。

如果停用 UAC,則無法進行 UAC 提升。 由系統管理員群組的成員所執行的所有程式(包括 Windows Explorer)都必須具有系統管理許可權。 所以系統管理員不需要使用提升許可權來存取需要管理許可權的資源。 例如,如果資料夾只會將存取權授與系統帳戶,系統管理員可以直接流覽它,而不會提示您變更資料夾的許可權。 若使用者沒有讀取權限,Windows Explorer 會顯示先前所述的對話方塊。 不過,如果停用 UAC,Windows 就無法透過 UAC 提升提示要求使用者的管理認證。 所以 Windows 不會以系統管理許可權來啟動背景程式,以變更檔案系統許可權。

不過,如果使用者選取 [ 繼續 ],而且資料夾的目前安全性描述會授與使用者讀取和變更物件使用權限的許可權,Windows 將會在使用者的目前安全性內容中啟動背景程式,並修改資料夾的許可權,以授與使用者的許可權,如前文所述。 使用者可能有權讀取和變更物件擁有權中的物件使用權限,或從物件的存取控制清單 (ACL) 。

已知問題

這項功能可能會造成意想不到的行為。 例如,假設您屬於管理員群組,而且您使用 Windows Explorer 來存取需要管理存取的資料夾。 變更許可權之後,任何透過您的使用者帳戶執行的程式都可以完全控制該資料夾,即使該程式並未提升,甚至您的帳戶已經從管理員群組中移除之後,也是如此。 這類修改的許可權可能會違背組織的安全性原則,而且可能會在安全性審核中加以標記。 此外,如果程式會驗證檔案系統許可權,當權限已變更時,可能會拒絕執行。

在所有情況下,UAC 應該仍會保持啟用狀態,但在 Windows Server 上,除了如何停用使用者帳戶控制 (UAC) 所述的限制情況外。

因應措施 1

若要避免變更只有管理員才能存取的資料夾中的許可權,請考慮使用其他可執行提升的程式,而不是使用 Windows Explorer。 範例包括命令提示字元、PowerShell,以及用於共用管理的電腦管理 MMC 嵌入式管理單元。

因應措施 2

如果您有一個應用程式特有的資料夾已鎖定以防止一般使用者存取它,您也可以新增自訂群組的許可權,然後將授權的使用者新增至該群組。 例如,假設應用程式特有的資料夾只授與系統帳戶存取權給管理員群組和系統帳戶的情況。 在此情況下,請建立網域或本機 AppManagers 群組,然後將授權的使用者新增至該群組。 然後,使用 icacls.exe 的公用程式、資料夾的 [屬性] 對話方塊的 [安全性] 索引標籤,或 PowerShell Set-Acl 指令程式,以授與現有許可權的 AppManagers 群組完全控制許可權。

屬於 AppManagers 成員的使用者可以使用 Windows Explorer 來流覽資料夾,而不需要 UAC 必須變更資料夾的許可權。 這種替代只適用于應用程式特定的資料夾。 您絕對不應該對屬於 Windows 作業系統一部分的資料夾做任何許可權變更,例如 C:\Windows\ServiceProfiles