管理员组中的用户与管理员权限不同(Win 2012 R2)

Maa*_*ten 11 permissions users windows-server-2012-r2

我创建了一个用户 admin 并将此用户放入管理员组(本地,没有 AD)。但此管理员用户与管理员用户本身的权限不同。

示例 1:文件归 SYSTEM 所有,管理员组拥有完全控制权。如果我尝试为用户添加对此文件的权限,则它不适用于 admin 用户。与管理员一起工作没有任何问题。

示例 2:IE 增强安全配置为管理员设置为关闭,为用户设置为打开。对于管理员来说,这是可以的,对于管理员用户来说,它仍然存在。

这是配置问题吗?如果是这样,我需要做什么才能使它正确?

Mas*_*imo 19

这可能是由用户帐户控制引起的,该功能(许多人讨厌)使得即使您拥有管理权限,您实际上也没有它们,除非您明确请求它们。有两种不同的策略来管理 UAC 行为(均可在 中找到Computer settings\Windows settings\Security settings\Local policies\Security options),一种用于内置Administrator帐户,另一种用于所有其他管理用户:

  • 用户帐户控制:内置管理员帐户的管理员批准模式(默认禁用)
  • 用户帐户控制:在管理员批准模式下运行所有​​管理员(默认启用)

这意味着:默认情况下,内置Administrator帐户不受 UAC 影响,而所有其他管理用户都受;因此,管理用户(不同于 built-it Administrator)可能实际上没有管理权限,即使它是Administrators组的成员。

更多信息在这里

  • 然而,实现是如此不稳定(如果您无法在 Windows 资源管理器上使用“以管理员身份运行”,因为它始终在运行,并且您无法使用提升的权限启动它的另一个实例),以至于大多数高级用户最终都完全禁用 UAC ,以便能够实际“使用”他们的计算机。 (2认同)
  • UAC 从 Windows Vista 开始就已经存在,但在 Windows 8 及更高版本(包括 10)中情况更糟,因为禁用 UAC 有效地阻止了 Metro/Modern 应用程序的运行:出于某些不可知的原因,它们似乎实际上*需要* UAC运行,如果 UAC 被禁用,它们甚至不会启动。 (2认同)

Jel*_*gab 1

我遇到了类似的情况,并按照http://clintboessen.blogspot.com/2013/05/you-dont-currently-have-permission-to.html(针对不同情况)的步骤修复了它。这就是我所拥有的和我所做的:

  1. 两台计算机,无 Active Directory 域,一台使用 Win 8.1(例如名称 W81),另一台使用 Server 2012(例如名称 w12)
  2. w12 上的两个本地用户:[UserA] 具有密码 A,[UserB] 具有密码 B。两者都属于 [Administrators] 本地组。
  3. w81上的两个本地用户:[UserA]和[UserB],其PasswordA和PasswordB与w12的相应用户相同。两者都属于 [Administrators] 本地组。
  4. 我在 w12 上共享一个文件夹:a。共享名称:Temp1$ b.共享权限:[所有人]、完全控制 c.NTFS 权限:[管理员]、完全控制。此处没有其他组具有 NTFS 权限
  5. 以 [UserA] 身份登录 W12,我尝试使用 UNC \w12\Temp1$ 访问共享。我收到一条错误消息,提示我无权访问。已找到共享。只是无法访问。
  6. 以 [UserB] 身份登录 W81,我尝试使用 UNC \w12\Temp1$ 访问共享。我犯了同样的错误。重新启动 w12 没有帮助。
  7. 如果我将 [UserA] 和 [UserB] 显式添加到 NTFS 权限,他们现在可以使用步骤 5 和 6 访问共享。
  8. 我在 w12 上运行 GPEdit.msc,转到:

计算机配置 --> Windows 设置 --> 安全设置 --> 本地策略 --> 安全选项

并使用 #1 和 #3 建议的设置:

#1、用户帐户控制:内置管理员帐户的管理员批准模式:禁用。#3、用户帐户控制:以管理员批准模式运行所有管理员:已禁用。

并保留 #2 不变:#2,用户帐户控制:管理员批准模式下管理员提升提示的行为:提示同意非 Windows 二进制文件

  1. 重新启动机器,情况就没有再出现了。