У меня есть пример каталога, размещенного на диске с данными при установке Windows Server 2008 ("MACHINE"). Только SYSTEM, Domain Admins, и Administrators (local) имеют права на полный доступ к этому примеру каталога. Никакие другие разрешения не применяются (я, как правило, немного беспокоюсь о разрешениях, и легче начать с минимального набора и расширить).
Когда я пытаюсь открыть каталог в проводнике, я получаю сообщение «В настоящее время у вас нет разрешения на доступ к этой папке. Нажмите« Продолжить », чтобы получить доступ к этой папке». Я определенно отношусь к администраторам домена. Да, проверял. Если я продолжу, разрешения применяются, в частности, добавляя мою учетную запись в этот каталог.
Я удалил разрешения, относящиеся к моей учетной записи, затем добавил свою учетную запись в локальную группу администраторов. Я получаю ту же ошибку.
Когда я добавляю разрешения для MACHINE\Users группа, я могу войти в каталог.
Когда я отключаю UAC, это странное поведение исчезает.
Как будто мое членство в группе администраторов домена и локальной группе администраторов игнорируется, когда включен UAC.
Может ли кто-нибудь объяснить мне это непонятное поведение? Я понимаю, что могу отключить UAC или добавить MACHINE\Users group в мои разрешения, но я хотел бы понять проблему, а не просто отмахиваться от нее.
Вы видите правильное поведение Контроля учетных записей пользователей. Ознакомьтесь со статьями ниже, чтобы узнать больше о том, что происходит «под капотом», когда у вас включен UAC.
По сути, ваши административные привилегии являются удаляется из вашего токена безопасности, когда включен UAC (как вы наблюдаете). Фактически, UAC позволяет вам входить в систему с учетной записью уровня «Администратор», но заставляет эту учетную запись «действовать» как ограниченный пользователь. Когда вы пытаетесь выполнить действие, требующее учетных данных уровня администратора, UAC предложит повысить уровень. После успешного завершения повышения прав действие, которое вы пытались выполнить, выполняется с использованием маркера безопасности без фильтрации UAC (который по-прежнему содержит все членство в вашей административной группе).
http://www.windowsecurity.com/articles/Exposing-Microsoft-Windows-7-User-Account-Control-UAC.html
http://technet.microsoft.com/en-us/library/cc709691(WS.10).aspx
Как правило, вам не нужно (да и не следует) называть «DOMAIN \ Domain Admins» в разрешениях. Локальная группа «Администраторы» будет содержать «DOMAIN \ Domain Admins», если компьютер присоединен к «DOMAIN», поэтому наименование «DOMAIN \ Domain Admins» является избыточным.
Я тоже столкнулся с этим и усиленно искал ответ. Хотя UAC и повышение привилегий имеют смысл, мне все же нужно было логическое объяснение того, почему для обеспечения доступа нужно писать каракули в настройках безопасности. Моя проблема возникла из-за попытки получить доступ к смонтированному образу Macrium Reflect с резервной копией, при этом все меры безопасности остались нетронутыми, как если бы это был внешний диск. Поскольку изображение доступно только для чтения, постоянное изменение ACL не может работать.
Я думал, что мне нужно просто повысить уровень до администратора и получить доступ. В противном случае, что хорошего в группе администраторов?
Проблема в основном заключается в сочетании того, как работает UAC и как работает проводник Windows. UAC делает ваш токен пользователя без группы администраторов, и требуется повышение прав, чтобы включить его и получить преимущества членства в группе. Повышение может произойти только во время создания процесса. Повышение уровня существующего токена процесса невозможно. Проводник Windows - это системный процесс, который запускается при входе в систему. Таким образом, он не повышен, и его нельзя повысить для доступа к папкам. Однако другие методы работают. Вы запускаете командную строку от имени администратора и получаете к ней доступ. Вы можете запустить Блокнот от имени администратора и открывать там файлы. И вы можете получить удаленный доступ к папкам через административный общий ресурс, поскольку локальный проводник Windows не требует повышенных прав для этого доступа.
Ниже приведены ссылки, которые научили меня этому вопросу. Надеюсь это поможет.
http://www.networksteve.com/forum/topic.php/Windows_Server_2008_R2_and_UAC_and_%22you_don't_currently_have_per /? TopicId = 14554 & Posts = 4
http://consumersupport.lenovo.com/ph/en/Guides/OS_guide_show_1261110914140580.html