Eng*_*fix 15 windows permissions active-directory
在使用我的域实验室之一时,我遇到了一个相当有趣的问题。
2008 R2 文件服务器上有一个目录,用于为“员工”OU 中的所有用户重定向文件夹。该目录具有以下权限集:
此外,该目录也是对Authenticated Users 组具有“允许完全控制”权限的网络共享。
当用户 john.doe(域管理员组的成员)尝试从文件服务器访问该目录时,他收到错误消息“您当前无权访问此文件夹”。尝试从同一服务器访问网络共享也会导致权限被拒绝错误(尽管用户仍然可以访问他自己在共享中的目录)。
从以同一用户身份登录的另一台计算机访问共享允许按配置进行访问。
您可以在登录到文件服务器时访问目录中的文件的唯一方法是打开提升的命令提示符。通过组策略为域中的所有计算机禁用 UAC(在启用管理员批准模式下运行所有管理员,并且默认行为设置为不提示提升)。
所有的道路都指向用户被允许访问,但它仍然被拒绝。有任何想法吗?
Joh*_*mer 13
这是设计使然。UAC 会从任何未提升的进程中剥离管理员凭据。如果您尝试使用未提升的进程仅使用管理员凭据访问远程共享,UAC 将从进程的安全令牌中删除管理员凭据,并且该进程将收到“拒绝访问”错误。
要解决此问题,您可以:
不要使用管理员凭据来保护文件夹(为此目的创建一个通用组),或者
在文件服务器上禁用 UAC(不推荐),或
在文件服务器上启用以下注册表项以仅禁用 UAC 的这一部分。
更多信息: Windows Vista 中用户帐户控制和远程限制的说明
The*_*ner 10
UAC 正在剥离服务器本身的域管理员凭据,这是 UAC(愚蠢的 IMO)工作方式的一部分。一种选择是完全禁用服务器上的 UAC,以免收到“您当前无权访问此文件夹”提示。
编辑:这是一个示例线程顺便说一句:http : //social.technet.microsoft.com/Forums/en-US/winservergen/thread/9061bc1c-42ea-47ed-8c7d-56b07139fb86/
EDIT2:下面约翰的回答可能正是您要找的。试一试,如果可以的话再报告。