Użytkownik w grupie administracyjnej domeny nie może uzyskać dostępu do katalogu, do którego grupa ma uprawnienia dostępu

Napotkałem dość interesujący problem podczas grania w jednym z moich laboratoriów domenowych.

Na serwerze plików 2008 R2 znajduje się katalog służący do przekierowywania folderów dla wszystkich użytkowników w jednostce organizacyjnej „Personel”. Katalog ma ustawione następujące uprawnienia:

• FILESERVER \ Administrators: Zezwól na pełną kontrolę nad katalogiem, podkatalogami i plikami
• DOMENA \ Administratorzy domeny: Zezwalaj na pełną kontrolę nad katalogiem, podkatalogami i plikami
• Użytkownicy uwierzytelnieni: zezwalaj na tworzenie plików, tworzenie folderów, zapisywanie atrybutów i zapisywanie rozszerzonych atrybutów tylko w głównym katalogu

Ponadto katalog jest także udziałem sieciowym z „Zezwalaj na pełną kontrolę” grupie uwierzytelnionych użytkowników.

Gdy użytkownik john.doe, członek grupy administratorów domeny, próbuje uzyskać dostęp do katalogu z serwera plików, pojawia się błąd „Obecnie nie masz uprawnień dostępu do tego folderu”. Próba uzyskania dostępu do udziału sieciowego z tego samego serwera powoduje również błąd odmowy uprawnień (chociaż użytkownik nadal może uzyskać dostęp do własnego katalogu w tym udziale).

Dostęp do udziału z innego komputera zalogowanego jako ten sam użytkownik zezwala na dostęp zgodnie z konfiguracją.

Jedynym sposobem uzyskania dostępu do plików w katalogu podczas logowania do serwera plików jest otwarcie wiersza polecenia z podwyższonym poziomem uprawnień. Kontrola konta użytkownika jest wyłączona dla wszystkich komputerów w domenie za pomocą Zasad grupy (Uruchom wszystkich administratorów w trybie zatwierdzenia administratora, a domyślne zachowanie ustawione na podniesienie poziomu bez monitowania).

Wszystkie drogi wskazują, że użytkownik ma dostęp, ale wciąż odmawia się dostępu. Jakieś pomysły?

To jest z założenia. Kontrola konta użytkownika usuwa dane administratora z dowolnego procesu bez podwyższonego poziomu uprawnień. Jeśli próbujesz użyć procesu bez podwyższonego poziomu uprawnień, aby uzyskać dostęp do udziału zdalnego przy użyciu tylko poświadczeń administratora, UAC usunie poświadczenia administracyjne z tokena zabezpieczającego proces, a proces otrzyma błąd „odmowa dostępu”.

Aby temu zaradzić, możesz:

1. Nie używaj poświadczeń administratora, aby zabezpieczyć folder (utwórz w tym celu grupę ogólną) lub

2. Wyłącz kontrolę konta użytkownika na serwerze plików (niezalecane) lub

3. Włącz następujący klucz rejestru na serwerze plików, aby wyłączyć tylko tę część UAC.

Więcej informacji: Opis Kontroli konta użytkownika i ograniczeń zdalnych w systemie Windows Vista

UAC zdejmuje poświadczenia administratora domeny na samym serwerze, to część tego, jak działa UAC (głupio IMO). Jedną z opcji jest całkowite wyłączenie UAC na serwerze, aby nie otrzymywać monitu „Obecnie nie masz uprawnień dostępu do tego folderu”.

EDYCJA: oto przykładowy wątek btw: http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/9061bc1c-42ea-47ed-8c7d-56b07139fb86/

EDYCJA 2: Odpowiedź Johna poniżej może być dokładnie tym, czego szukasz. Wypróbuj i zgłoś się, jeśli możesz.

Najlepszym sposobem jest zmiana klucza rejestru na

registry::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system; key = EnableLUA

• Upewnij się, że jest ustawiony na wartość 0, aby wyłączyć
• Musisz ponownie uruchomić komputer, aby zadziałał.
• Interfejs może pokazywać go jako wyłączony, gdy rejestr jest włączony