Categories: Windows 10Windows 11Windows Server 2019Windows Server 2022

Запуск Проводника Windows (File Explorer) с правами администратора

В современных версиях Windows проводник (File Explorer) всегда запускается с минимальными привилегиями. Даже если щелкнуть по исполняемому файлу C:Windowsexplorer.exe и запустить его в режиме Run as administrator , повышения привилегий не происходит. В этой статье мы рассмотрим способ запуска проводника Windows в привилегированном режиме с правами администратора.

Содержание:

Как запустить Проводник от имени администратора?
У вас не разрешений на доступ к этой папке в Windows

Как запустить Проводник от имени администратора?

Чтобы запустить процесс проводника Windows с повышенными привилегиями, сначала нужно завершить непривилегированный процесс explorer.exe.

Откройте taskmgr.exe , перейдите на вкладку Details , найдите и завершите процесс explorer.exe (End task);
Затем в Task Manager выберите -> File -> Run New Task -> explorer.exe /nouaccheck (обязательно включите опцию Create this task with administrative privileges );
Это запусит процесс проводника с правами администратора. Как в этом убедиться?
Щелкните заголовку в списке процессов на вкладке Details и выберите Select Columns ;
Включите опцию Elevated ;
Теперь видно, что процесс explorer.exe запущен в привилегированном режиме ( Elevated=Yes ).

Также вы можете запустить процесс explorer.exe с правами администратор из консоли PowerShell (обязательно запустите powershell.exe с правами администратора):

taskkill /f /FI "USERNAME eq $env:UserName"/im explorer.exe

Запустите привилегированный процесс explorer.exe:

c:windowsexplorer.exe /nouaccheck

( NO | UAC | CHECK ).

Новый процесс explorer унаследует повышенный маркер доступа, с которыми запущена консоль powershell.exe.

Для быстрого запуска File Explorer с правами администратора можете создать следующий BAT файл на рабочем столе:

taskkill /f /FI "USERNAME eq %USERNAME%" /im explorer.exe start c:windowsexplorer.exe /nouaccheck

В билде Windows 11 23H2 были внедрены изменения касательно запуска explorer.exe с правами администратора, которые описал Вадим Стеркин в своем блоге . В этом билде Windows контролирует запуск проводника с токеном администратора и прибивает запущенный процесс, а вместо него запускает новый с обычными правами.

Чтобы отключить такое поведение, нужно изменить параметр реестра AutoRestartShell:

$path = 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon' New-ItemProperty -Path $path -Name AutoRestartShell -Type Dword -Value 0 -Force | Out-Null

Теперь, при запуске следующей команды в первый раз, Windows все еще стреляет elevated процесс:

taskkill /f /FI "USERNAME eq $env:UserName" /im explorer.exe ; c:windowsexplorer.exe /nouaccheck

Но при повторном запуске, привилегированный explorer.exe останется запущенным.

После окончания работы разрешите перзапуск оболочки проводника:

New-ItemProperty -Path $path -Name AutoRestartShell -Type Dword -Value 1 -Force | Out-Null taskkill /f /FI "USERNAME eq $env:UserName" /im explorer.exe

У вас не разрешений на доступ к этой папке в Windows

Рассмотрим частый сценарий, при котором процесс Проводника, запущенный с правами администратора, может быть особенно удобен.

При работе с проводником Windows (File Explorer) под учетной записью, которая добавлена в группу локальных администраторов (или даже под встроенным администратором Windows ), часто приходится открывать системные каталоги, профили других пользователей или редактировать защищенные системные файлы. При попытке открыть такой каталог или файл, появляется предупреждающее окно UAC о необходимости предоставить доступ и повысить привилегии.

Например, попробуйте в проводнике открыть системный каталог C:WindowsSystem32Config . Должно появится окно User Account Control , сообщающее о том, что у вас доступа к каталогу нет:

You don’t currently have permission to access this folder. Click Continue to permanently get access to this folder.

При наличии у вашей учетной записи права администратора вы можете получить через повышение привилегий UAC, нажав кнопку Continue .

Когда вы нажимаете Continue, UAC временно повышает привилегии вашего процесса explorer.exe и предоставляет вашей учетной записи NTFS права для доступа к данному каталогу (Full Control).

Известные проблемы такого подхода :

После выполнения такой операции в NTFS разрешениях на папку явно добавляется ваша учетная запись. Хотя все, что вы хотели – просмотреть содержимое каталога, а не менять его ACL! В случае если это хост Windows Server с несколькими администраторами, тогда ACL каталога будет постоянно увеличиваться. Тогда каждый из них при доступе к папке внесет строку доступа для своей учетки и ACL каталога будет постоянно расти.

Данное поведение File Explorer создает большие проблемы при администрировании общих сетевых папок на файловых серверах Windows Server. В качестве обходного решения многие администраторы Windows предпочитаю управлять NTFS разрешениями на сетевые папки не локально, а через UNC путь ( \msk-fs01shared ). В этом случае при доступе к каталогу не нужно повышать привилегии, соответственно, не происходит изменение NTFS разрешений.

При активной работе с системными файлами или общими папками такое выскакивающее уведомление UAC начинает раздражать. Чтобы не отключать UAC полностью, вы можете временно запустить File Explorer от имени администратора .

Когда вы закончите работу с защищенными папками, обязательно перезапустите explorer.exe в обычном режиме.

Данный трюк с запуском процесса проводника Windows с повышенными правами работает как в Windows Server 2016/2019/2022, так и во всех билдах Windows 10/11.

В ранних билдах Windows 10 запуск привилегированного процесса explorer.exe блокировался встроенным заданием планировщика CreateExplorerShellUnelevatedTask .

admin