我一直在研究最近的服务器迁移,并清除了一些克隆的Windows 2008服务器上的权限问题。 我经常使用procmon来缩小权限问题并修复它们,然后继续testing。
当我分配适当的权限,然后再次运行testing,仍然在procmon中收到与我刚刚为该目录或registry项指派完全控制的同一确切用户相同的“ACCESS DENIED”错误失败了
这在技术上如何可能? 除了没有正确的ACL设置,为什么ACCESS DENIED被返回?
在这个特定的头痛,我有一个Active Directory帐户,我们用于运行我们的服务,需要能够跨越多个服务器,并一直接受访问被拒绝HKEY_CLASSES_ROOT \ Wow6432Node \ CLSID错误。 我已经检查了三倍,这个用户对这个密钥有完全控制权限,但它仍然发生。
为什么它是值得的,这里是从procmon的细节:
Date & Time: 8/9/2011 5:13:27 PM Event Class: Registry Operation: RegOpenKey Result: ACCESS DENIED Path: HKCR\Wow6432Node\CLSID TID: 5084 Duration: 0.0000073 Desired Access: Read Description: Event Alarm Service Company: Dorian Software Creations, Inc. Name: EvtAlarm.exe Version: 6.0.0.148 Path: C:\Program Files (x86)\Event Alarm\EvtAlarm.exe Command Line: "C:\Program Files (x86)\Event Alarm\EvtAlarm.exe" PID: 5232 Parent PID: 616 Session ID: 0 User: OUR\SpecialUser Auth ID: 00000000:09af42e2 Architecture: 32-bit Virtualized: False Integrity: High Started: 8/9/2011 5:13:27 PM Ended: 8/9/2011 5:13:39 PM 编辑:谢谢大家的反馈。 我已经解决了我们的根本问题,虽然我的问题依然存在,因为我不觉得我所做的确实是一个解释,所以我不打算把这个作为正式的答复。 根据公司提出的build议,我把有问题的服务帐户添加到本地pipe理员组,现在能够成功启动,并且ACCESS DENIED错误消失了。 对我来说,这仍然没有任何意义,因为权限(包括有效权限)显示此服务帐户应该有权访问被拒绝的registry项。
很可能用户的令牌没有被重新生成。 当用户login/authentication一个安全令牌时,他们拥有所有的权限。 当发生权限更改时,用户需要使用本地SAM或域控制器重新生成其安全令牌。 通常这只是用户权限分配的一个问题,而不是对象权限。
另一种可能性是拒绝优先的概念允许。 拒绝的级别越高,导致权限问题的可能性越高。
我的应用程序有类似的问题。 我的解决scheme是禁用UAC