管理员组中的用户与管理员权限不同（Win 2012 R2）

Question

我创建了一个用户 admin 并将此用户放入管理员组（本地，没有 AD）。但此管理员用户与管理员用户本身的权限不同。

示例 1：文件归 SYSTEM 所有，管理员组拥有完全控制权。如果我尝试为用户添加对此文件的权限，则它不适用于 admin 用户。与管理员一起工作没有任何问题。

示例 2：IE 增强安全配置为管理员设置为关闭，为用户设置为打开。对于管理员来说，这是可以的，对于管理员用户来说，它仍然存在。

这是配置问题吗？如果是这样，我需要做什么才能使它正确？

Answer 1

这可能是由用户帐户控制引起的，该功能（许多人讨厌）使得即使您拥有管理权限，您实际上也没有它们，除非您明确请求它们。有两种不同的策略来管理 UAC 行为（均可在 中找到Computer settings\Windows settings\Security settings\Local policies\Security options），一种用于内置Administrator帐户，另一种用于所有其他管理用户：

• 用户帐户控制：内置管理员帐户的管理员批准模式（默认禁用）
• 用户帐户控制：在管理员批准模式下运行所有​​管理员（默认启用）

这意味着：默认情况下，内置Administrator帐户不受 UAC 影响，而所有其他管理用户都受；因此，管理用户（不同于 built-it Administrator）可能实际上没有管理权限，即使它是Administrators组的成员。

更多信息在这里。

Answer 2

我遇到了类似的情况，并按照http://clintboessen.blogspot.com/2013/05/you-dont-currently-have-permission-to.html（针对不同情况）的步骤修复了它。这就是我所拥有的和我所做的：

1. 两台计算机，无 Active Directory 域，一台使用 Win 8.1（例如名称 W81），另一台使用 Server 2012（例如名称 w12）
2. w12 上的两个本地用户：[UserA] 具有密码 A，[UserB] 具有密码 B。两者都属于 [Administrators] 本地组。
3. w81上的两个本地用户：[UserA]和[UserB]，其PasswordA和PasswordB与w12的相应用户相同。两者都属于 [Administrators] 本地组。
4. 我在 w12 上共享一个文件夹：a。共享名称：Temp1$ b．共享权限：[所有人]、完全控制 c．NTFS 权限：[管理员]、完全控制。此处没有其他组具有 NTFS 权限
5. 以 [UserA] 身份登录 W12，我尝试使用 UNC \w12\Temp1$ 访问共享。我收到一条错误消息，提示我无权访问。已找到共享。只是无法访问。
6. 以 [UserB] 身份登录 W81，我尝试使用 UNC \w12\Temp1$ 访问共享。我犯了同样的错误。重新启动 w12 没有帮助。
7. 如果我将 [UserA] 和 [UserB] 显式添加到 NTFS 权限，他们现在可以使用步骤 5 和 6 访问共享。
8. 我在 w12 上运行 GPEdit.msc，转到：

计算机配置 --> Windows 设置 --> 安全设置 --> 本地策略 --> 安全选项

并使用 #1 和 #3 建议的设置：

#1、用户帐户控制：内置管理员帐户的管理员批准模式：禁用。#3、用户帐户控制：以管理员批准模式运行所有管理员：已禁用。

并保留 #2 不变：#2，用户帐户控制：管理员批准模式下管理员提升提示的行为：提示同意非 Windows 二进制文件

9. 重新启动机器，情况就没有再出现了。