При работе с проводником Windows (Explorer) на сервере с правами локального администратора довольно часто приходится открывать системные каталоги, профили других пользователей или править защищенные системные файлы. При попытке открыть такой каталог / файл с помощью проводники в текущем контексте, появляется предупреждающее окно UAC о необходимости предоставить доступ и повысить привилегии.

Как это выглядит: пробуем в проводнике открыть системный каталог C:\Windows\security\audit – появляется окно User Account Control, сообщающее о том, что доступа к каталогу нет (You don’t currently have permission to access this folder). Но доступ можно получить, нажав кнопку Continue.

UAC You don’t currently have permission to access this folder

Все бы ничего, но после выполнения такой операции в NTFS разрешениях на папку явно прописывается ваша учетная запись. Хотя все что мы хотели – просмотреть содержимое каталога, а не менять его ACL!

UAC изменил ntfs разрешения на папку

Естественно, при активной работе с системными файлами это выскакивающее уведомление UAC начинает раздражать. Т.к. отключать ради этого UAC совершенно не хочется, пришлось найти собственный способ запуска процесса Проводника (Exploler.exe)

Примечание. Процесс Windows Explorer запускается при входе пользователя в систему со стандартным токеном доступа пользователя, работает в фоновом режиме и отвечает за отображение рабочего стола. Стандартами средствами повысить привилегии для проводника нельзя, и запустить второй процесс в режиме “Run as admin” не удастся.

Запустите командную строку cmd.exe с правами администратора (Run as administrator).

Выполните команду: tskill explorer & explorer

tskill explorer & explorerУказанная команда завершит текущий процесс explorer.exe для данного пользователя и запустит новый, который унаследует повышенный маркер доступа, с которыми запущен cmd.exe.

Удостоверится, что Проводник запущен в привилегированном режиме можно с помощью диспетчера задач (Task Manager). Запустите его и перейдите на вкладку Details, где щелкните ПКМ по любой колонке, выберите Select columns и включите отображения столбца Elevated. Как вы видите, у процесса explorer.exe теперь появился атрибут Elevated=Yes.

explorer.exe запуск с повышенными привелегиями

После выполнения этого трюка

Проводник сможет открыть любую системную папку без предупреждений UAC, кроме того, все дочерние процессы, запущенные из проводника также будут облаять повышенными правами. К примеру, это удобно когда нужно отредактировать файл hosts (c:\windows\system32\drivers\etc), открывая его блокнотом прямо из проводника, без необходимости открывать отдельный процесс notepad.exe с правами администратора или от имени другого пользователя.

Чтобы частично автоматизировать этот трюк, можно на рабочем столе создать bat файл с этой командой, в случае необходимости повысить привилегии для Проводника, запускать его с правами администратора по ПКМ.