Разрешения файлов NTFS в Windows 2008 R2 не работают должным образом

Мы только что получили наш первый сервер Windows Server 2008 R2. Это будет файловый сервер. Однако у меня возникла странная проблема, которая, похоже, является результатом UAC.

Когда я пытаюсь предоставить общий доступ к папке, я устанавливаю для всех групп значение «Полный доступ» в разрешениях общего доступа. Затем я настраиваю разрешения NTFS, чтобы они не наследовались от дескрипторов безопасности по умолчанию, когда вы форматируете том NTFS, и я решаю удалить текущие дескрипторы, чтобы я мог настроить свои собственные. Я настроил так, чтобы группа локальных администраторов имела полный контроль, группа domain \ Domain Admins имела полный контроль, а пользователь, встроенный в SYSTEM, имел полный контроль.

При этом я теряю права доступа к папке как администратор домена. Что вызывает это? Компьютер был присоединен к домену, а группа «Администраторы домена» является частью группы локальных администраторов (в любом случае это не имеет значения, поскольку у меня есть администраторы домена в разрешениях NTFS).

Вот как выглядят дескрипторы безопасности NTFS по умолчанию:

Вот как выглядит модифицированная безопасность:

Почему это может привести к потере доступа администратора домена, вошедшего в систему, и любого другого администратора домена? Такое поведение не наблюдается на компьютере с Windows Server 2003.

редактировать: Я провел еще несколько тестов, и оказалось, что только зарегистрированному пользователю этой машины отказано в доступе, даже если зарегистрированный пользователь является членом группы администраторов домена. У администратора домена нет проблем с доступом к общему ресурсу через сеть.

Редактировать 2: Хорошо, так что спасибо Zoredache ниже, я смог встать на правильный путь и разобраться, что происходит. Это действительно был UAC, но не настройки UAC по умолчанию, которые есть в Windows Server 2008 R2. На самом деле у нас есть объект групповой политики UAC для всего домена, который менял настройки по умолчанию на сервере.

Это настройки по умолчанию:

А вот какие были настройки в GPO:

Поскольку объект групповой политики имеет приоритет над локальной безопасностью, именно это мешало мне увидеть разрешения NTFS или получить доступ к папке.

Я исправил это поведение, просто создав новый объект групповой политики UAC и WMI, фильтрующий его только для серверов.