Người dùng trong nhóm quản trị miền không thể truy cập thư mục mà nhóm có quyền truy cập

Tôi đã gặp phải một vấn đề khá thú vị khi chơi với một trong các phòng thí nghiệm tên miền của mình.

Có một thư mục trên máy chủ tệp 2008 R2 đang được sử dụng để chuyển hướng thư mục cho tất cả người dùng trong OU "Nhân viên". Thư mục có các quyền sau:

FILESERVER \ Quản trị viên: Cho phép toàn quyền kiểm soát thư mục, thư mục con và tệp
DOMAIN \ Quản trị viên tên miền: Cho phép toàn quyền kiểm soát thư mục, thư mục con và tệp
Người dùng được xác thực: Cho phép tạo tệp, tạo thư mục, viết thuộc tính và chỉ viết thuộc tính mở rộng vào thư mục trên cùng

Ngoài ra, thư mục cũng là một chia sẻ mạng với "Cho phép kiểm soát hoàn toàn" cho nhóm Người dùng được xác thực.

Khi người dùng john.doe, một thành viên của nhóm quản trị viên tên miền, cố gắng truy cập thư mục từ máy chủ tệp, anh ta sẽ gặp lỗi "Bạn hiện không có quyền truy cập vào thư mục này". Cố gắng truy cập chia sẻ mạng từ cùng một máy chủ cũng dẫn đến lỗi từ chối cấp phép (mặc dù người dùng vẫn có thể truy cập vào thư mục của chính mình trong phần chia sẻ).

Truy cập chia sẻ từ một máy tính khác đã đăng nhập với cùng một người dùng cho phép truy cập như được định cấu hình.

Cách duy nhất bạn có thể truy cập các tệp trong thư mục trong khi đăng nhập vào máy chủ tệp là mở một dấu nhắc lệnh nâng cao. UAC bị vô hiệu hóa cho tất cả các máy tính trong miền thông qua Chính sách nhóm (Chạy tất cả quản trị viên ở chế độ Phê duyệt của quản trị viên được bật và hành vi mặc định được đặt ở mức cao mà không cần nhắc).

Tất cả các con đường đều chỉ đến người dùng được phép truy cập, nhưng nó vẫn bị từ chối. Có ý kiến gì không?

windows active-directory permissions

— Tiếng Anh
nguồn

Có bất kỳ ACE từ chối nào trong ACL không?

— Shane Madden

Không có quyền từ chối được đặt trong ACL cho thư mục cho bất kỳ nhóm hoặc người dùng nào.

— EnglishInfix

Câu trả lời:

Đây là do thiết kế. UAC tước thông tin quản trị từ bất kỳ quy trình không nâng cao nào. Nếu bạn đang cố sử dụng quy trình không nâng cao để truy cập vào chia sẻ từ xa chỉ bằng thông tin đăng nhập của quản trị viên, UAC sẽ loại bỏ thông tin đăng nhập của quản trị viên khỏi mã thông báo bảo mật của quy trình và quá trình sẽ nhận được lỗi "truy cập bị từ chối".

Để khắc phục điều này, bạn có thể:

Không sử dụng thông tin đăng nhập của quản trị viên để bảo mật thư mục (tạo một nhóm chung chỉ cho mục đích này) hoặc
Vô hiệu hóa UAC trên máy chủ tệp (không được khuyến nghị) hoặc
Cho phép khóa đăng ký sau trên máy chủ tệp để vô hiệu hóa phần này của UAC.

Thông tin thêm: Mô tả về Kiểm soát tài khoản người dùng và các hạn chế từ xa trong Windows Vista

— John Homer
nguồn

Vì vậy, tôi chỉ nhận thấy điều này là từ cuối tháng Năm. Không chắc tại sao nó lại xuất hiện trong nguồn cấp dữ liệu RSS của tôi sáng nay ...

— John Homer

John, tôi rất vui khi thay đổi câu trả lời của tôi và nâng cao bạn, nhưng tôi muốn chắc chắn. Bài viết KB đọc "kỳ lạ", trong Domain user accountsphần này, như thể nó sẽ không có bất kỳ ảnh hưởng nào cả. OP cho biết anh ta đang ở trên máy chủ tệp truy cập vào các ổ đĩa cục bộ và đường dẫn UNC trực tiếp từ máy chủ. Tôi không có cách nhanh chóng (nhưng có thể nếu cần thiết) kiểm tra regkey mà chỉ hỏi bạn có chắc chắn rằng điều này thực sự sẽ khắc phục vấn đề chính xác như OP mô tả và không chỉ cho truy cập đường dẫn UNC từ xa không?

— TheCleaner

Tôi đã gặp vấn đề này nhiều lần. Truy cập vào một chia sẻ cục bộ là quá trình tương tự như chia sẻ từ xa. Nó vẫn sử dụng trình chuyển hướng UNC để truy cập vào thư mục và sẽ phải chịu hành vi tương tự. Tôi đoán máy từ xa là phiên bản Windows cũ hơn (không phải UAC). Thật không may, OP đã không cung cấp thông tin đó. Chỉ dựa trên thông tin anh ấy đã cung cấp (đặc biệt là nhu cầu nâng cao để nó hoạt động chính xác) khiến tôi tin rằng đây là vấn đề.

— John Homer

Vâng, đã hiểu, nhưng anh ấy nói rằng trước tiên anh ấy đã thử ổ đĩa cục bộ (không chia sẻ) và sau đó là chia sẻ của UNC. Nhưng tôi lạc đề ... Tôi sẽ thay đổi bài đăng của mình và nâng cấp bài viết của bạn ... Tôi không có lý do gì để không tin vào câu trả lời của bạn.

— TheCleaner

Khóa sổ đăng ký KHÔNG làm việc cho tôi, ngay cả sau khi khởi động lại. Tắt UAC cũng không hoạt động. Chỉ có nhóm chung làm việc cho tôi.

— skinneejoe

UAC đang tước thông tin đăng nhập của Quản trị viên tên miền trên chính máy chủ, đó là một phần trong cách UAC (IMO ngu ngốc) hoạt động. Một tùy chọn là tắt hoàn toàn UAC trên máy chủ để không nhận được lời nhắc "Bạn hiện không có quyền truy cập thư mục này".

EDIT: đây là một ví dụ chủ đề btw: http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/9061bc1c-42ea-47ed-8c7d-56b07139fb86/

EDIT2: Câu trả lời của John dưới đây có thể chính xác là những gì bạn đang tìm kiếm mặc dù. Hãy thử nó và báo cáo lại nếu bạn có thể.

— TheCleaner
nguồn

Một tùy chọn khác là thêm ACL vào thư mục cho một nhóm khác mà người dùng là thành viên, với các quyền thích hợp.

— Greg Askew

Xin lỗi TheCleaner, nhưng bạn không chính xác. Bạn không phải vô hiệu hóa UAC để thực hiện công việc này. Có một khóa đăng ký (LocalAccountTokenFilterPolicy) chỉ vô hiệu hóa phần này của UAC. Thêm thông tin tại đây: support.microsoft.com/kb/951016

— John Homer

@ John John - xem bình luận của tôi trong câu trả lời của bạn. Tôi sẽ thay đổi câu trả lời của mình như một khả năng nhưng cũng chỉ ra và nêu lên câu trả lời của bạn, nếu bạn chắc chắn rằng bài viết KB áp dụng cho các vấn đề ổ đĩa máy chủ cục bộ cũng như OP mô tả.

— TheCleaner

-1

Cách tốt nhất là thay đổi khoá đăng ký tại

registry::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system; key = EnableLUA

Đảm bảo rằng nó được đặt thành Giá trị 0 để tắt
Bạn cần khởi động lại để làm cho nó có hiệu lực.
Giao diện có thể hiển thị nó như bị vô hiệu hóa trong khi đăng ký được kích hoạt

— Bến
nguồn

Các khóa chính sách không được đặt bằng tay. Chúng được sử dụng bởi quản lý chính sách nhóm để lưu trữ cài đặt. Thông tin thêm: technet.microsoft.com/en-us/l Library / cc962657.aspx

— John Homer