我四处寻找这个问题,我能找到的只是常见的“我是管理员,但需要提升”这类问题。这不太一样。
我在文件服务器上有一个 D 驱动器(2008 r2 并且在 2012 上也设置了同样的问题),其中包含一个共享给用户的文件夹。每个人都可以通过网络访问整个共享驱动器,除了一些只有特定组才能访问的文件夹。
我进行了设置,以便那些特定的子文件夹停止继承权限,而只授予对相关组的完全访问权限(与管理员无关)。我有一个域用户,它是域中每台机器上的备份操作员组和所有本地备份操作员组的成员(通过 GPO 设置)。此用户用于运行文件同步程序,以便每晚将文件共享同步到 NAS 进行备份。该软件也在相关机器上运行,而不是远程运行。
我为用户提供了交互式登录的能力,因此我可以在该帐户下设置软件并在为它创建计划任务之前测试备份是否有效。
最初的问题是该软件无法访问受保护程度更高的文件夹 - 据我所知,备份操作员不可能做到这一点。因此,我将备份操作员组显式添加到具有完全访问权限的文件夹权限中 - 同样的错误。因此,我使用资源管理器找到了有问题的文件夹 - 并注意我不是以管理员身份运行,但是尽管这个窗口要求我提升。
现在这是问题 - 为什么非管理员帐户需要管理员令牌来访问它具有完全权限的文件夹(通过它的组备份操作员)?这不是在系统文件夹或系统驱动器中,它只是一个普通驱动器,在一堆普通文件夹下,对它们有一些更严格的限制。
我真的不明白为什么在这种情况下甚至需要 UAC - 这与管理员无关!
谢谢
编辑:
评论要求的文件夹权限:
C:\Windows\system32>icacls "d:\share\support\tech documents"
d:\share\support\tech documents
QUT\access tech docs:(OI)(CI)(F)
QUT\Domain Admins:(OI)(CI)(F)
BUILTIN\Backup Operators:(OI)(CI)(F)
Successfully processed 1 files; Failed processing 0 files
C:\Windows\system32>icacls "d:\share\support"
d:\share\support BUILTIN\Administrators:(F)
Everyone:(I)(OI)(CI)(M)
BUILTIN\Backup Operators:(I)(OI)(CI)(F)
QUT\Enterprise Admins:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(F)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
QUT\Domain Admins:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
BUILTIN\Users:(I)(OI)(CI)(RX)
BUILTIN\Users:(I)(CI)(S,AD)
BUILTIN\Users:(I)(CI)(S,WD)
Successfully processed 1 files; Failed processing 0 files
有问题的文件夹上方的文件夹只是继承权限,技术文档之一已禁用继承并设置了显式权限。