У меня есть группа с ограниченным доступом в групповой политике в подразделении под названием org_unit_a
. В этом организационном подразделении есть все компьютеры.
My_domain\Workstation Admins
My_domain\settings
Administrators
(или Järjestelmänvalvojat по-фински)На локальном компьютере:
net localgroup "Administrators"
показывает My_domain\Workstation admins
как член группыnet user /domain settings
показать членство в группе My_domain\Workstation Admins
Запрошенная операция требует возвышения
Если пользователь settings
был установлен как локальный администратор через группы с ограниченным доступом, тогда почему Windows не принимает эти учетные данные при вводе в командной строке UAC?
Если пользовательские настройки были установлены как локальный администратор через группы с ограниченным доступом, то почему Windows не принимает эти учетные данные при вводе в командной строке UAC?
Потому что так работает UAC.
Вкратце, как обычные пользователи, так и административные пользователи теперь работают с одним и тем же контекстом безопасности - контекста непривилегированного пользователя. Как пользователь-администратор вы фактически получаете два токена с идентичной пользовательской информацией, стандартный и административный. Когда вы пытаетесь выполнить действие, требующее административных привилегий, срабатывает UAC и в зависимости от его конфигурации запрашивает либо ваши учетные данные, либо подтверждение эскалации, а затем выполняет любое действие, которое вы первоначально запросили с использованием административного токена.
Короче говоря, вы на самом деле не являетесь администратором, даже если вы являетесь администратором (Обзор управления учетными записями пользователей).
Вы можете изменить, насколько "шумный" контроль доступа пользователей - Что такое настройки контроля учетных записей пользователей?