运行Windows Server 2008的我的文件服务器有两个逻辑驱动器; C:驱动器包含所有的系统和应用程序数据,D:驱动器包含所有的业务数据。 D:驱动器顶层有几个工作正常的共享。 然而…
当通过远程桌面以交互方式login到文件服务器时,只有域pipe理员和本地pipe理员帐户可以浏览D:驱动器。 我设置了一个名为“维护”的帐户,并将其添加到本地pipe理员组,但是当用此用户login时,我无法浏览到D:驱动器。 D:驱动器具有以下权限ACL:
Full Access - SYSTEM Full Access - MACHINE\Administrators 它甚至不会让我查看E:驱动器的ACL。 所以我尝试了E:驱动器的所有权,然后我可以读取ACL,而“有效权限”说我有完全访问权限。 但是我仍然得到这个错误信息。
Location is not available D:\ is not accessible. Access is denied.
听起来像UAC对我来说,访问驱动器需要提升 – 如果您以pipe理员身份运行cmd shell(作为维护帐户运行时),会发生什么情况? 你能看到驱动器的内容吗? 本地pipe理员和域pipe理员默认情况下,在2008年需要时自动提升,我不认为只是pipe理员帐户的成员。
编辑添加:
您可以通过组策略修改此行为,但请记住,默认设置是故意设置的 – 您要更改的特定策略是“用户帐户控制:在pipe理员批准模式下运行所有pipe理员” – 您可以find有关如何在这个MSDN文章中做这个。
http://technet.microsoft.com/en-us/library/cc731677(WS.10).aspx
令牌更改当Windows®XP或Windows Server 2003中Administrators组成员的用户login到计算机时,该用户的令牌包含Administrators组SID,并且该用户具有与Administrators组相同的权限。 在Windows Server 2008和Windows Vista中,如果启用了UAC,pipe理员SID仍然存在于令牌中,但仅设置为“拒绝”。 在执行访问控制时,令牌中的这样的条目仅用于拒绝访问 – 换言之,与拒绝ACE相匹配。 任何允许该SID的ACE都被忽略。 这意味着即使您是一体login到计算机,您也不是一个真正的pipe理员。