當您在 Windows 檔案總管中選取 [繼續] 以存取資料夾時，您的用戶帳戶會新增至資料夾的 ACL

發行項
03/20/2024

當您選取 [ 繼續 ] 以存取您沒有 [讀取] 權限的檔案系統資料夾時，本文提供問題的解決方案。

適用於：Windows 10 - 所有版本、Windows Server 2012 R2
原始 KB 編號： 950934

簡介

本文說明 Windows 檔案總管提示您選取 [ 繼續 ] 以存取您沒有 [讀取] 權限的檔案系統資料夾的案例。它也會說明避免此行為特定層面的因應措施。此問題發生在 Windows Vista 和更新版本的 Windows 以及 Windows Server 2008 和更新版本的 Windows Server 中。 Windows 檔案總管在 Windows 8 和更新版本中稱為檔案總管。

其他相關資訊

假設使用者帳戶控制 (UAC) 已啟用，而且您使用 Windows 檔案總管來存取您沒有讀取許可權的資料夾。此外，資料夾不會同時以 Hidden 和 System 屬性標示。在此情況下，Windows 檔案總管會顯示一個對話框，提示您輸入下列訊息：

您目前沒有存取此資料夾的許可權。按兩下 [繼續] 永久取得此資料夾的存取權。

注意事項

在 Windows Vista 和 Windows Server 2008 中，第二個句子不會永久包含該字;它只會顯示 按兩下 [繼續] 以取得此資料夾的存取權。

然後，您可以選取 [ 繼續] 或 [ 取消]。 (預設會選取 [繼續]。) 如果您選取 [ 繼續]，UAC 會嘗試代表您取得系統管理許可權。根據控制 UAC 提高許可權提示行為的 UAC 安全性設定，以及您是否為 Administrators 群組的成員，系統可能會提示您同意或提供認證。或者，您可能完全不會收到提示。如果 UAC 可以取得系統管理許可權，背景程式會變更資料夾及其所有子資料夾和檔案的許可權，以授與使用者帳戶存取權。在 Windows Vista 和 Windows Server 2008 中，背景程式會授與您的使用者帳戶讀取和執行許可權。在更新版本的 Windows 中，此程式會授與您的用戶帳戶完全控制權。

產生此錯誤是系統刻意為之。但是，由於提高 UAC 許可權的一般模式是以系統管理許可權執行提升許可權程式的實例，因此使用者可能會預期選取 [ 繼續] 會產生提升許可權的 Windows 檔案總管實例，而不會永久變更檔系統許可權。不過，這種預期是不可能的，因為 Windows 檔案總管的設計不支援在互動式用戶會話的不同安全性內容中執行多個進程實例。

如果停用 UAC，就無法提高 UAC 許可權。所有由 Administrators 群組成員執行的程式，包括 Windows 檔案總管，一律具有系統管理許可權。因此，系統管理員不需要使用提高許可權來存取需要系統管理許可權的資源。例如，如果資料夾只授與 Administrators 群組和系統帳戶的存取權，系統管理員可以直接流覽它，而不會提示您改變資料夾的許可權。如果使用者沒有 [讀取] 許可權，Windows 檔案總管會顯示稍早所述的對話框。不過，如果停用UAC，Windows 就無法透過UAC提高許可權提示要求使用者的系統管理認證。因此，Windows 不會以系統管理許可權啟動背景程式來變更檔系統許可權。

不過，如果使用者選取 [ 繼續 ]，且資料夾的目前安全描述符授與使用者讀取和變更物件許可權的許可權，Windows 將會啟動使用者目前安全性內容中的背景程式，並修改資料夾的許可權，以授與使用者更大的存取權，如先前所述。使用者可能有權從對象擁有權或從物件的訪問控制清單讀取和變更對象的許可權， (ACL) 。

已知問題

此功能可能會導致非預期的行為。例如，假設您屬於 Administrators 群組，而且您使用 Windows 檔案總管來存取需要系統管理存取權的資料夾。許可權變更之後，透過您的使用者帳戶執行的任何程式都可以完全控制資料夾，即使程式未提高許可權，甚至是從 Administrators 群組移除您的帳戶之後也一樣。這類變更的許可權可能會違反組織的安全策略，而且可能會在安全性稽核中標示。此外，如果程式驗證文件系統許可權，如果許可權已變更，則可能會拒絕執行。

除了如何在 Windows Server 上停用使用者帳戶控制 (UAC) 所述的限制情況下，所有情況下都應保持啟用 UAC。

因應措施 1

若要避免變更只有系統管理員才能存取之資料夾中的許可權，請考慮使用可提升許可權執行的另一個程式，而不是使用 Windows 檔案總管。範例包括命令提示字元、PowerShell 和用於共用管理的電腦管理 MMC 嵌入式管理單元。

因應措施 2

如果您有鎖定的應用程式特定資料夾，以防止一般使用者存取它，您也可以新增自定義群組的許可權，然後將授權的使用者新增至該群組。例如，假設應用程式特定資料夾只授與 Administrators 群組和系統帳戶的存取權。在此情況下，請建立網域或本機 AppManagers 群組，然後將授權的使用者新增至其中。然後，使用公用程式，例如 icacls.exe、資料夾 [屬性] 對話框的安全性索引標籤，或 PowerShell Set-Acl Cmdlet，授與 AppManagers 群組資料夾的完整控制權，以及現有的許可權。

身為 AppManagers 成員的使用者可以使用 Windows 檔案總管來瀏覽資料夾，而不需要 UAC 變更資料夾的許可權。此替代方法僅適用於應用程式特定的資料夾。您絕對不應該對屬於 Windows 作業系統一部分的資料夾進行任何權限變更，例如 C:\Windows\ServiceProfiles。