Назад | Перейти на главную страницу

Пользователь в группе администраторов не имеет тех же прав, что и администратор (Win 2012 R2)

Я создал пользователя admin и поместил этого пользователя в группы администраторов (локальные, нет AD). Но этот пользователь-администратор не имеет тех же прав, что и сам пользователь-администратор.

Пример 1: файл принадлежит SYSTEM, а группа администраторов имеет полный контроль. Если я попытаюсь добавить разрешения для пользователя в этот файл, это не сработает для пользователя с правами администратора. С Администратором работает без проблем.

Пример 2: Конфигурация усиленной безопасности IE отключена для администраторов и включена для пользователей. Для администратора это нормально, для пользователя-администратора это все еще включено.

Это проблема конфигурации? Если да, что мне нужно сделать, чтобы все исправить?

Это могло быть вызвано Контроль учетных записей пользователей, функция (которую многие ненавидят), которая делает так, что даже если у вас есть права администратора, у вас их фактически нет, если вы явно не запросите их. Существует две различные политики, управляющие поведением UAC (обе находятся в Computer settings\Windows settings\Security settings\Local policies\Security options), один для встроенного Administrator аккаунт и еще один для всех остальных административных пользователей:

Контроль учетных записей пользователей: режим одобрения администратором для встроенной учетной записи администратора (по умолчанию отключено)
Контроль учетных записей пользователей: запускать всех администраторов в режиме утверждения администратором (по умолчанию включено)

Это означает следующее: по умолчанию встроенный Administrator UAC не влияет на учетную запись, в то время как все остальные административные пользователи являются; таким образом, это возможно для пользователя с правами администратора (в отличие от встроенного Administrator) фактически не иметь административных прав, даже если он является членом Administrators группа.

Больше информации Вот.

У меня была похожая ситуация, и я исправил ее, выполнив шаги http://clintboessen.blogspot.com/2013/05/you-dont-currently-have-permission-to.html (которые предназначены для другой ситуации). Вот что у меня было и что я сделал:

Два компьютера без домена Active Directory, один с Win 8.1 (например, имя W81), другой с Server 2012 (например, имя w12)
Два локальных пользователя на w12: [UserA] с PasswordA и [UserB] с PasswordB. Оба принадлежат к локальной группе [Администраторы].
Два локальных пользователя на w81: [UserA] и [UserB] с теми же паролями PasswordA и PasswordB, что и соответствующие пользователи w12. Оба принадлежат к локальной группе [Администраторы].
Расшариваю папку на w12: a. Имя общего ресурса: Temp1 $ b. Разрешения общего доступа: [Все], Полный доступ c. Разрешения NTFS: [Администраторы], Полный доступ. Никакая другая группа не имеет здесь разрешений NTFS
Зайдя на W12 как [UserA], я пытаюсь получить доступ к общему ресурсу, используя UNC \ w12 \ Temp1 $. Я получаю сообщение об отсутствии доступа. Доля найдена. Просто доступа нет.
Зайдя на W81 как [UserB], я пытаюсь получить доступ к общему ресурсу, используя UNC \ w12 \ Temp1 $. Я получаю ту же ошибку. ПЕРЕЗАПУСК w12 НЕ ПОМОГАЕТ.
Если я добавлю [UserA] и [UserB] явно к разрешениям NTFS, они теперь получат доступ к общему ресурсу с помощью шагов 5 и 6.
Я запустил GPEdit.msc на w12, зашел:

Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности

и использовал настройки для рекомендаций №1 и №3:

# 1, Контроль учетных записей пользователей: режим утверждения администратором для встроенной учетной записи администратора: отключен. №3, Контроль учетных записей пользователей: запускать всех администраторов в режиме одобрения администратором: отключено.

И оставил # 2 нетронутым: # 2, Контроль учетных записей пользователей: Поведение запроса на повышение прав для администраторов в режиме утверждения администратором: запрос согласия для двоичных файлов, отличных от Windows

Перезагрузил машину, и ситуация больше не повторилась.