服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 用户突然缺less对活动目录域中的根驱动器c的写入权限
Intereting Posts
iptables遍历和链策略,手动编辑 在Windows域中的用户名规则 你怎么知道你的Apache安装是否安全? amazon web services中的Capistrano问题 Apache“随机”丢失VirtualHostconfiguration fail2ban不工作在Apache Ubuntu 保护邮件通信@ Exchange 2010 在我的Ubuntu工作站中使用VirtualBox设置Windowstesting实验室 删除/ home中的一些文件增加了/上的可用空间。 Windows可以读取未分区的NTFS卷吗? (单个大分区) IIS7.5 Windows身份validation缺less提供程序菜单项(ntlm) 如何改变apache的PATHvariables环境 交换不在办公室,发送每个电子邮件的OOO答复 如何在Xenserver中安装CentOS 5.5? NGINX重写到新的协议和端口

用户突然缺less对活动目录域中的根驱动器c的写入权限

我正在pipe理某些Windows Server 2008,Windows Server 2008 R2和Windows Server 2012计算机上的活动目录单一域环境。

自从几个星期以来,我遇到一个奇怪的问题。 有些用户(不是全部)报告说,无论是在客户端(vista,win 7)还是Windows Server 2008计算机上的远程桌面连接,他们都不能再保存,复制或写入文件到根驱动器c。 即使在没有pipe理员权限的情况下运行需要对根驱动器直接写入权限的程序,也不能这样做。

受影响的用户具有本地pipe理员权限。

我现在面临的问题是:什么导致了系统行为的这种变化? 为什么会发生? 我还没有find。

发生之前我做的最后一件事是什么?

  • 发生之前的最后一项操作是根据用户的安全组成员资格,为用户部署包含networking驱动器映射的GPO。 所有networking驱动器位于启用了samba的linux服务器上。

  • 我们没有更改任何UAC设置,并且它们始终被激活。

  • 但是我无法想象推出这个GPO导致了这个问题。 有没有人遇到这样的问题?

以防万一:

  • 我知道这是由于一个特定的原因,没有pipe理权限的用户被禁止写入根驱动器,因为Windows Vista和UAC的实施。 我不认为这些用户应该能写驱动器c,但我试图找出为什么发生这种情况,几个星期前,这仍然是工作。

  • 我也知道,作为本地pipe理员组的成员的用户不会以默认的pipe理员权限执行任何操作,除非他或她使用此权限执行程序。

我做了什么?

  • 我检查了受影响的程序,受影响的客户端/服务器的权限。 没有find特别的东西。

  • 我检查了所有的GPO,如果有任何限制,可以防止受影响的用户写入根驱动器。 没有find任何设置。

  • 我检查了受影响用户的UAC设置,并将这些设置与仍然可以写入根驱动器的其他用户进行比较。 一切都差不多

  • 我通过互联网search,并试图find有类似问题的人。 没有find一个。

有没有人有一个想法? 非常感谢你。

编辑:

推出的GPO执行以下操作(请原谅,如果设置没有完全如此命名,我将设置翻译成英文): 

**Windows Settings --> Network Drive Mappings --> Drive N: --> General:** Action: Replace **Properties:** Letter: N Location: \\path-to-drive\drivename Re-Establish connection: deactivated Label as: Name_of_the_Share Use first available Option: deactivated **Windows Settings --> Network Drive Mappings --> Drive N: --> Public: Options:** On error don't process any further elements for this extension: no Run as the logged in user: no remove element if it is not applied anymore: no Only apply once: no **Securitygroup:** Attribute --> Value bool --> AND not --> 0 name --> domain\groupname sid --> sid-of-the-group userContext --> 1 primaryGroup --> 0 localGroup --> 0 **Securitygroup:** Attribute --> Value bool --> OR not --> 0 name --> domain\another-groupname sid --> sid-of-the-group userContext --> 1 primaryGroup --> 0 localGroup --> 0

编辑:受影响的用户的错误消息说: 

 Due to an unexpected error you can't copy the file. Error-Code 0x80070522: The client is missing a required permission.

命令icacls C:显示如下: 

 NT-AUTORITY\SYSTEM:(OI)(CI)(F) PRE-DEFINED\Administrators:(OI)(CI)(F) computername\username:(OI)(CI)(F)

一所大学刚刚告诉我,主要的域控制器(PDC)也从Windows Server 2008变成了Windows Server 2012.这也可能是一个原因。 有什么build议么?

我不允许发表评论,但这不是一个解决scheme,但我已经注意到除了Server 2012和Server 2012 R2之外,Windows 7和Windows 8上的相同行为。 最重要的是,即使在将驱动器根目录的所有权和完全权限更改为pipe理员帐户后,pipe理员帐户也会发生这种情况。 而且,在工作组中使用计算机的本地帐户上观察到了这种体验,所以networking和域中的事物不是问题的一部分。

例如,pipe理员不允许将文件从D:驱动器复制到E:\根目录,但可以复制到E:\ temp,然后将该文件移动到E:\。 复制是不允许的,但在同一个驱动器上移动是。

如果你真的有用户可以做这些function:

一些用户(不是全部!)报告他们不能再保存,复制或写入文件到根驱动器c

我build议你仔细研究一下与其他账户相比,他们账户的独特之处。 至于为什么行为发生了变化,我只是假设它是适用于微软更新的东西。 (sorting的答案:-)