题 域管理员组中的用户无法访问该组有权访问的目录


在玩我的一个域实验室时,我遇到了一个相当有趣的问题。

2008 R2文件服务器上有一个目录,用于“Staff”OU中所有用户的文件夹重定向。该目录具有以下权限集:

  • FILESERVER \ Administrators:允许完全控制目录, 子目录和文件
  • DOMAIN \ Domain Admins:允许完全控制目录, 子目录和文件
  • 经过身份验证的用户:允许创建文件,创建文件夹,写入 属性,并仅将扩展属性写入顶级目录

此外,该目录还是具有“允许完全控制”到Authenticated Users组的网络共享。

当用户john.doe(域管理员组的成员)尝试从文件服务器访问该目录时,他会收到错误“您当前没有权限访问此文件夹”。尝试从同一服务器访问网络共享也会导致权限被拒绝错误(尽管用户仍然可以访问共享中的自己的目录)。

从作为同一用户登录的另一台计算机访问共享允许按配置访问。

登录到文件服务器时,唯一可以访问目录中文件的方法是打开提升的命令提示符。通过组策略禁用域中的所有计算机的UAC(在管理员批准模式下启用所有管理员,并且默认行为设置为提升而不提示)。

所有道路都指向允许访问的用户,但它仍然被拒绝。有任何想法吗?


15
2018-05-03 22:10




ACL中是否有任何拒绝ACE? - Shane Madden♦
ACL中没有为任何组或用户设置目录的拒绝权限。 - EnglishInfix


答案:


这是设计的。 UAC从任何未提升的进程中剥离管理员凭据。如果您尝试使用未提升的进程仅使用管理员凭据访问远程共享,则UAC将从进程的安全令牌中删除管理凭据,并且该进程将收到“拒绝访问”错误。

要解决这个问题,您可以:

  1. 不要使用管理员凭据来保护文件夹(仅为此目的创建通用组),或

  2. 禁用文件服务器上的UAC(不推荐),或

  3. 在文件服务器上启用以下注册表项以仅禁用此部分UAC。

更多信息:  Windows Vista中的用户帐户控制和远程限制的说明


12
2018-02-10 12:50



所以我注意到这是从去年五月开始的。不知道为什么它今天早上出现在我的RSS feed中...... - John Homer
约翰,我很高兴改变我的回答并向你投票,但我想确定。知识库文章的内容是“奇怪的” Domain user accounts 部分,好像它根本没有任何影响。 OP表示他在文件服务器上直接从服务器访问本地驱动器和UNC路径。我没有快速的方法(但如果有必要的话)可以测试regkey,但只是问你是否确定这确实会像OP所描述的那样解决问题,而不仅仅是远程UNC路径访问? - TheCleaner
我已多次遇到这个问题。在本地访问共享与远程共享​​的过程相同。它仍然使用UNC重定向器来访问该文件夹,并且会受到相同的行为。我猜这台远程机器是Windows的旧版(非UAC版)。不幸的是,OP没有提供这些信息。仅仅根据他提供的信息(特别是需要提升它才能正常工作)让我相信这就是问题所在。 - John Homer
是的,理解,但他说他首先尝试了本地驱动器(没有共享),然后是UNC共享。但是我离题了...我会改变我的帖子并且赞成你的...我没有理由不相信你的答案。 - TheCleaner
即使重启后,注册表项也无法正常工作。关闭UAC也没有用。只有通用组才能为我工作。 - skinneejoe


UAC正在剥离服务器本身的域管理员凭据,这是UAC(愚蠢的IMO)如何工作的一部分。一种选择是完全禁用服务器上的UAC,以便不接收“您当前没有访问此文件夹的权限”提示。

编辑:这是一个例子线程btw: http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/9061bc1c-42ea-47ed-8c7d-56b07139fb86/

编辑2:约翰在下面的回答可能正是你正在寻找的。尝试一下,如果可以,请报告。


10
2018-05-03 23:42



另一种选择是将ACL添加到用户所属的另一个组的文件夹中,并具有适当的权限。 - Greg Askew
抱歉TheCleaner,但你不对。您不必禁用UAC即可使其正常工作。有一个注册表项(LocalAccountTokenFilterPolicy),它只禁用UAC的这一部分。更多信息: support.microsoft.com/kb/951016 - John Homer
@JohnHomer - 在你的回答中看到我的评论。我会改变我的答案作为一种可能性,但如果你确定知识库文章适用于本地服务器驱动器问题以及OP所描述的那样,那么也会指出并提升你的答案。 - TheCleaner


最好的方法是更改​​注册表项

registry::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system; key = EnableLUA
  • 确保将其设置为值0以禁用
  • 您需要重新启动才能使其生效。
  • 启用注册表时,接口可能会将其显示为已禁用

-1
2018-02-21 08:39



不应手动设置策略密钥。组策略管理使用它们来存储设置。更多信息: technet.microsoft.com/en-us/library/cc962657.aspx - John Homer