Я надеюсь, что кто-то может помочь мне с этой проблемой разрешений NTFS. Вкратце, я не могу записать новый файл в F: \ SomeDir, хотя мне кажется, что мне предоставлены полные разрешения как через группу «Администраторы домена», так и через вторую непривилегированную группу. Вкладка «Действующие разрешения» в пользовательском интерфейсе разрешений проводника показывает, что у меня есть полный контроль, и нигде в ACL нет «Запретить» или чего-либо еще, что выглядит необычно. Я вошел в систему через RDP и обращаюсь к диску напрямую как к локальному диску, а не через общий ресурс.
F:\SomeDir>set U
USERDNSDOMAIN=THEOFFICE.LOCAL
USERDOMAIN=THEOFFICE
USERNAME=thisisme
USERPROFILE=C:\Users\thisisme
F:\SomeDir>icacls .
. BUILTIN\Administrators:(I)(F)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
THEOFFICE\Domain Admins:(I)(OI)(CI)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
BUILTIN\Users:(I)(OI)(CI)(RX)
Successfully processed 1 files; Failed processing 0 files
F:\SomeDir>net group /domain "Domain Admins"
The request will be processed at a domain controller for domain THEOFFICE.local.
Group name Domain Admins
Comment Designated administrators of the domain
Members
-------------------------------------------------------------------------------
Administrator thatguy thisisme
The command completed successfully.
F:\SomeDir>echo "whyUNoCreateFile?" > whyUNoCreateFile.txt
Access is denied.
Я искал ответы и сталкивался с похожими проблемами, которые приводят к UAC (напр. Почему удаление группы КАЖДОЙ предотвращает доступ администраторов домена к диску? ). Я не могу выключить UAC в данный момент, поэтому пробую «обычную» группу, частью которой я тоже являюсь. Эта группа не имеет назначенных специальных прав и не является частью каких-либо административных групп. По-прежнему нет кубиков:
[***** This one command executed in an elevated shell *****]
F:\SomeDir>icacls . /grant THEOFFICE\iteveryone:(OI)(CI)F
processed file: .
Successfully processed 1 files; Failed processing 0 files
F:\SomeDir>net group /domain "iteveryone"
The request will be processed at a domain controller for domain THEOFFICE.local.
Group name ITeveryone
Comment
Members
-------------------------------------------------------------------------------
Administrator thatguy thisisme
otherguy someitguy
The command completed successfully.
F:\SomeDir>echo y > u
Access is denied.
Как видите, использование «обычной» группы не помогло. Я вышел из системы и вернулся на сервер, чтобы убедиться, что мой токен входа в систему обновлен, и, во всяком случае, я принадлежал к этим группам до создания сервера.
Если я предоставлю себе явное разрешение, это позволит мне записывать файлы:
[***** This one command executed in an elevated shell *****]
F:\SomeDir>icacls . /grant THEOFFICE\thisisme:(OI)(CI)F
processed file: .
Successfully processed 1 files; Failed processing 0 files
F:\SomeDir>echo y > u
F:\SomeDir>type u
y
Мое требование состоит в том, чтобы группа «Администраторы домена» имела полный доступ, или, если это невозможно без отключения UAC, то подойдет вторая группа, но я не могу заставить работать ни одну из них.
Я действительно в тупике. Может кто-нибудь указать, на что я мог упустить?
Таким образом, оказывается, что эта проблема была в точности проблемой на основе UAC, описанной в другой статье; Группа «ITeveryone» не работала для меня, потому что это была группа «Распространение», а не группа «Безопасность». Я попробовал то же самое с группой безопасности, членом которой я тоже был, и все сработало, как ожидалось.