Я управляю однодоменной средой Active Directory на некоторых компьютерах с Windows Server 2008, Windows Server 2008 R2 и Windows Server 2012.
Через несколько недель у меня возникла странная проблема. Некоторые пользователи (не все!) Сообщают, что они больше не могут сохранять, копировать или записывать файлы на корневой диск c ни на своих клиентах (Vista, Win 7), ни через подключение к удаленному рабочему столу на машине Windows Server 2008. С тех пор даже запущенные программы, требующие разрешения на прямую запись на корневой диск без прав администратора, не могут этого сделать.
Затронутые пользователи имеют права локального администратора.
Сейчас я столкнулся с вопросом: что вызвало это изменение поведения системы? Почему это случилось? Я еще не узнал.
Что я делал в последний раз перед тем, как это случилось?
Последнее действие, которое было выполнено перед тем, как это произошло, - это развертывание объекта групповой политики, содержащего сопоставления сетевых дисков для пользователей в зависимости от их членства в группе безопасности. Все сетевые диски находятся на Linux-сервере с включенной самбой.
Мы не меняли никаких настроек UAC, и они всегда были активированы.
Однако я не могу себе представить, что развертывание этого объекта групповой политики вызвало проблему. Кто-нибудь сталкивался с такой проблемой?
На всякий случай:
Я знаю, что это по определенной причине, что пользователю без административных привилегий запрещается запись на корневой диск, поскольку Windows Vista и реализация UAC. Я не думаю, что эти пользователи должны иметь возможность писать на диск c, но я пытаюсь понять, почему это происходит, и несколько недель назад это все еще работало.
Я также знаю, что пользователь, который является членом группы локальных администраторов, ничего не выполняет с разрешениями администратора по умолчанию, если он или она не выполняет программу с этими разрешениями.
Что я еще делал?
Я проверил разрешения затронутых программ, затронутых клиентов / серверов. Ничего особенного не нашел.
Я проверил ВСЕ наши объекты групповой политики, существуют ли какие-либо ограничения, которые могут помешать затронутым пользователям записывать данные на корневой диск. Никаких настроек не нашел.
Я проверил настройки UAC затронутых пользователей и сравнил их с другими пользователями, которые все еще могут писать на корневой диск. Все похоже.
Я погуглил в Интернете и попытался найти кого-то, у кого была аналогичная проблема. Не нашел.
Есть у кого-нибудь идея? Большое спасибо.
Редактировать:
Развернутый объект групповой политики выполняет следующие функции (извините, если настройки не имеют такого названия, я перевел настройки на английский):
**Windows Settings --> Network Drive Mappings --> Drive N: --> General:**
Action: Replace
**Properties:**
Letter: N
Location: \\path-to-drive\drivename
Re-Establish connection: deactivated
Label as: Name_of_the_Share
Use first available Option: deactivated
**Windows Settings --> Network Drive Mappings --> Drive N: --> Public:
Options:**
On error don't process any further elements for this extension: no
Run as the logged in user: no
remove element if it is not applied anymore: no
Only apply once: no
**Securitygroup:**
Attribute --> Value
bool --> AND
not --> 0
name --> domain\groupname
sid --> sid-of-the-group
userContext --> 1
primaryGroup --> 0
localGroup --> 0
**Securitygroup:**
Attribute --> Value
bool --> OR
not --> 0
name --> domain\another-groupname
sid --> sid-of-the-group
userContext --> 1
primaryGroup --> 0
localGroup --> 0
Изменить: сообщение об ошибке затронутых пользователей говорит следующее:
Due to an unexpected error you can't copy the file.
Error-Code 0x80070522: The client is missing a required permission.
Команда icacls C: показывает следующее:
NT-AUTORITY\SYSTEM:(OI)(CI)(F)
PRE-DEFINED\Administrators:(OI)(CI)(F)
computername\username:(OI)(CI)(F)
Колледж только что сказал мне, что основной контроллер домена (PDC) также изменился с Windows Server 2008 на Windows Server 2012. Это также может быть причиной. Какие-либо предложения?
Мне пока не разрешено комментировать, и это не решение как таковое, но я заметил такое же поведение в Windows 7 и 8 в дополнение к Server 2012 и Server 2012 R2. Кроме того, это происходит из учетной записи администратора даже после изменения владение и полные права доступа к корневому каталогу дисков для учетной записи администратора. Кроме того, этот опыт наблюдался на локальной учетной записи с компьютерами в рабочей группе, поэтому работа в сети и нахождение в домене не являются частью проблемы.
Например, администратору не разрешено копировать файл с диска D: в корневой каталог E: \, но он может скопировать его в E: \ temp, а затем шаг файл в E: \. Копирование запрещено, но перемещение на одном диске разрешено.
Если у вас действительно есть пользователи, которым разрешено выполнять эти функции:
Некоторые пользователи (не все!) Сообщают, что они больше не могут сохранять, копировать или записывать файлы на корневой диск c
Я бы посоветовал внимательно изучить, что отличает их аккаунты от других. Что касается того, почему поведение изменилось, я просто предположил, что это было что-то, что было применено с обновлением Microsoft. (Вроде ответа :-)