是否可以为服务器上的单个帐户禁用“管理员批准模式”?
Kje*_*sen 5 security windows-server-2008 active-directory windows-server-2008-r2
控制台应用程序在域中的单个服务器上运行,其任务是删除不再活跃的用户的一些家庭区域。这些家庭区域位于遍布网络的 50 多个不同的服务器上。
该帐户在一个帐户的上下文中运行,该帐户也是每个存储服务器上本地管理员组的成员,对相关文件夹具有“完全控制”访问权限。
这在一堆较旧的服务器上效果很好,但在 Windows 2008 上却遇到了问题。在这些服务器上,“本地管理员”组启用了“管理员批准模式”。
例如,如果我右键单击一个文件夹并尝试访问属性/安全性(使用相同的服务帐户),我会收到以下提示:
我可以按继续,然后继续使用完全控制权限。如果我在删除文件时也这样做,事情就会像预期的那样工作。
是否可以在每个用户/每个服务器的基础上禁用此功能,以便它继续适用于所有其他帐户 - 但不适用于此处有问题的服务帐户?
如果我在这里弄乱了一些术语,请原谅我。我只是一个开发者。:)
编辑:明确表示,我正在谈论单个服务器上的控制台应用程序,访问网络上许多不同服务器上的家庭区域。
小智 5
我很确定在 Windows 8 以后你不能禁用 UAC(没有注册表黑客,但 Windows 应用程序不起作用)。更好的方法是禁用管理员批准模式 (AAM):
在 Windows 资源管理器中访问文件夹时,提示“您当前没有访问此文件夹的权限”。现在我知道这个文件夹设置了以下权限:
- 系统 - 完全控制
- 管理员 - 完全控制
- 用户 - 创建文件夹追加数据
我的用户帐户是管理员的成员。我应该有权访问此文件夹。
好吧,AAM 将在 Explorer 启动时为所有“管理员”组成员提供“标准用户”访问令牌。因此,当您单击该文件夹时,将弹出一个用户访问控制 (UAC) 请求许可。这会将您的用户添加为单独的 ACL(访问控制列表)条目,并为您提供与“管理员”相同的权限。
对此的两种解决方案:
- 创建一个与管理员具有相同权限的新组,将您的用户添加到该组,将该组添加到您要访问的文件夹。您将拥有完全访问权限,无需提示或添加单独的用户 ACL 条目。
禁用 AAM点击这里
- 本质上,+R GPEDIT.msc
- 计算机配置 --> Windows 设置 --> 安全设置 --> 本地策略 --> 安全选项
- 用户账户控制:内置管理员账户的管理员审批模式
- 用户帐户控制:管理员批准模式下管理员提升提示的行为
- 用户帐户控制:在管理员批准模式下运行所有管理员
- 按以下顺序设置策略设置:
- 已禁用
- 不提示提升
- 已禁用
此功能称为 UAC(用户帐户控制)。它只能按服务器禁用,不能按用户禁用,为此,请转到开始菜单,键入“msconfig”,然后打开列表中的唯一条目。在此新窗口中,选择“工具”选项卡并选择“更改 UAC 设置”,然后将滑动标尺下拉至禁用状态。
- 我仍然会考虑通过组策略应用该设置。集中管理且易于审计/核算。 (2认同)
| 归档时间: |
|
| 查看次数: |
12034 次 |
| 最近记录: |