Kev*_*vin 5 windows-server-2008 permissions windows-7 windows-server-2008-r2 windows-server-2012
我正在一些 Windows Server 2008、Windows Server 2008 R2 和 Windows Server 2012 机器上管理活动目录单域环境。
几个星期以来,我遇到了一个奇怪的问题。一些用户(不是全部!)报告说他们无法再将文件保存、复制或写入根驱动器 c,无论是在他们的客户端(vista、win 7)上还是通过 Windows Server 2008 机器上的远程桌面连接。从那时起,即使运行需要对根驱动器直接写入权限而没有管理员权限的程序也无法这样做。
受影响的用户具有本地管理员权限。
我现在面临的问题是:是什么导致了系统行为的这种变化?为什么会这样?我还没有发现。
在它发生之前我做的最后一件事是什么?
在它发生之前执行的最后一个操作是根据用户的安全组成员身份推出包含网络驱动器映射的 GPO。所有网络驱动器都位于启用了 samba 的 linux 服务器上。
我们没有更改任何 UAC 设置,并且它们始终处于激活状态。
但是我无法想象推出这个 GPO 会导致问题。有没有人遇到过这样的问题?
以防万一:
我知道由于 Windows Vista 和 UAC 的实施,没有管理权限的用户被阻止写入根驱动器是出于特定原因。我不认为这些用户应该能够写入驱动器 c,但我试图弄清楚为什么会发生这种情况,几周前这仍然有效。
我也知道作为本地管理员组成员的用户默认情况下不会以管理员权限执行任何操作,除非他或她使用此权限执行程序。
我还做了什么?
我检查了受影响的程序、受影响的客户端/服务器的权限。没发现什么特别的。
我检查了我们所有的 GPO 是否存在任何可能阻止受影响用户写入根驱动器的限制。没有找到任何设置。
我检查了受影响用户的 UAC 设置,并将这些设置与仍然可以写入根驱动器的其他用户进行了比较。一切都相似。
我通过互联网搜索并试图找到有类似问题的人。一个都没找到。
有人有想法吗?非常感谢。
编辑:
推出的 GPO 执行以下操作(如果设置的名称不完全相同,请原谅,我将设置翻译成英文):
**Windows Settings --> Network Drive Mappings --> Drive N: --> General:**
Action: Replace
**Properties:**
Letter: N
Location: \\path-to-drive\drivename
Re-Establish connection: deactivated
Label as: Name_of_the_Share
Use first available Option: deactivated
**Windows Settings --> Network Drive Mappings --> Drive N: --> Public:
Options:**
On error don't process any further elements for this extension: no
Run as the logged in user: no
remove element if it is not applied anymore: no
Only apply once: no
**Securitygroup:**
Attribute --> Value
bool --> AND
not --> 0
name --> domain\groupname
sid --> sid-of-the-group
userContext --> 1
primaryGroup --> 0
localGroup --> 0
**Securitygroup:**
Attribute --> Value
bool --> OR
not --> 0
name --> domain\another-groupname
sid --> sid-of-the-group
userContext --> 1
primaryGroup --> 0
localGroup --> 0
编辑:受影响用户的错误消息如下:
Due to an unexpected error you can't copy the file.
Error-Code 0x80070522: The client is missing a required permission.
命令 icacls C: 显示以下内容:
NT-AUTORITY\SYSTEM:(OI)(CI)(F)
PRE-DEFINED\Administrators:(OI)(CI)(F)
computername\username:(OI)(CI)(F)
一所大学刚刚告诉我,主域控制器 (PDC) 也从 Windows Server 2008 更改为 Windows Server 2012。这也可能是一个原因。有什么建议?
我还不能发表评论,而且这不是一个解决方案,但我注意到除了 Server 2012 和 Server 2012 R2 之外,Windows 7 和 8 上也存在同样的行为。最重要的是,即使将驱动器根目录的所有权和完全权限更改为管理员帐户,也会从管理员帐户发生这种情况。此外,这种体验是在工作组中的计算机的本地帐户上观察到的,因此网络和域中的存在不是问题的一部分。
例如,管理员不允许将文件从 D: 驱动器复制到 E:\ 根目录,但可以复制到 E:\temp,然后将文件 移动到 E:\。不允许复制,但可以在同一驱动器上移动。
如果您确实有允许执行这些功能的用户:
一些用户(不是全部!)报告他们无法再将文件保存、复制或写入到根驱动器 c
我建议仔细研究他们的账户与其他账户相比有何独特之处。至于行为发生变化的原因,我只是假设这是通过 Microsoft 更新应用的。(算是一个答案:-)
| 归档时间: |
|
| 查看次数: |
3505 次 |
| 最近记录: |