Назад | Перейти на главную страницу

Пользователь в группе администраторов домена не может получить доступ к каталогу, к которому у группы есть разрешение на доступ

Я столкнулся с довольно интересной проблемой, играя с одной из моих доменных лабораторий.

На файловом сервере 2008 R2 есть каталог, который используется для перенаправления папок для всех пользователей в подразделении «Staff». Для каталога установлены следующие разрешения:

Кроме того, каталог также является сетевым ресурсом с «Разрешить полный контроль» для группы прошедших проверку пользователей.

Когда пользователь john.doe, член группы администраторов домена, пытается получить доступ к каталогу с файлового сервера, он получает сообщение об ошибке «В настоящее время у вас нет разрешения на доступ к этой папке». Попытка получить доступ к общему сетевому ресурсу с того же сервера также приводит к ошибке отказа в разрешении (хотя пользователь по-прежнему может получить доступ к своему собственному каталогу внутри общего ресурса).

Доступ к общему ресурсу с другого компьютера, вошедшего в систему как тот же пользователь, разрешает доступ в соответствии с настройками.

Единственный способ получить доступ к файлам в каталоге при входе на файловый сервер - это открыть командную строку с повышенными привилегиями. UAC отключен для всех компьютеров в домене с помощью групповой политики (все администраторы работают в режиме одобрения администратором, а поведение по умолчанию настроено на повышение без запроса).

Все дороги указывают на то, что пользователю разрешен доступ, но он все равно запрещен. Любые идеи?

Это сделано намеренно. UAC удаляет учетные данные администратора из любого процесса без повышенных прав. Если вы пытаетесь использовать процесс без повышенных прав для доступа к удаленному общему ресурсу, используя только учетные данные администратора, UAC удалит учетные данные администратора из токена безопасности процесса, и процесс получит сообщение об ошибке «Доступ запрещен».

Чтобы исправить это, вы можете:

  1. Не используйте учетные данные администратора для защиты папки (создайте общую группу только для этой цели) или

  2. Отключить UAC на файловом сервере (не рекомендуется) или

  3. Включите следующий раздел реестра на файловом сервере, чтобы отключить только эту часть UAC.

Больше информации: Описание контроля учетных записей пользователей и удаленных ограничений в Windows Vista

UAC удаляет учетные данные администратора домена на самом сервере, это часть того, как работает UAC (тупо ИМО). Один из вариантов - полностью отключить UAC на сервере, чтобы не получать сообщение «У вас нет разрешения на доступ к этой папке».

РЕДАКТИРОВАТЬ: вот пример потока, кстати: http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/9061bc1c-42ea-47ed-8c7d-56b07139fb86/

EDIT2: ответ Джона ниже может быть именно тем, что вы ищете. Попробуйте и сообщите, если сможете.

Лучше всего изменить ключ реестра на

registry::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system; key = EnableLUA
  • Убедитесь, что установлено значение 0, чтобы отключить
  • Вам необходимо перезагрузить компьютер, чтобы он вступил в силу.
  • Интерфейс может отображать его как отключенный, пока включен реестр