NTFS – 域pipe理员不具有权限,尽pipe是本地pipe理员组的一部分
根据我们IT部门的“最佳实践”,员工有两个账户。 非特权帐户和属于全局“域pipe理员”($ DOMAIN \ Domain Admins)组的成员帐户。 在我们的文件服务器上,Domain Admins组被添加到本地pipe理员($ SERVER \ Administrators)组中。 本地pipe理员组已完全控制这些目录上授予。 相当标准。
但是,如果我login到服务器与我的域pipe理员帐户,以进入该目录我需要批准一个UAC提示说:“您目前没有权限访问此文件夹。单击继续以永久访问这个文件夹“。 尽pipe$ SERVER \ Administrators(我是通过Domain Admins组的成员)已经拥有完全控制,但单击继续会为该文件夹和其他任何内容提供我的域pipe理员帐户权限。
有人可以解释这种行为,以及pipe理文件共享的NTFS权限的适当方式是关于Server 2008 R2和UAC的pipe理权限?
- chown:改变`。'的所有权:无效的参数
- 使用chown更改目录的组所有者是不允许的…为什么?
- 'S'linux文件权限是什么意思
- 权限被拒绝,但在redhat上组权限看起来不错
- 目录,用户可以阅读,但根不能?
正确的,当一个程序请求pipe理员权限时,UAC被触发。 如资源pipe理器,请求pipe理员权限,因为这是这些文件和文件夹所需的NTFS ACL。
你有四个选项我知道。
-
在您的服务器上禁用UAC。
- 我这样做(一般情况下),并会争辩说,如果你需要服务器上的UAC,你可能会做错了,因为一般来说,只有pipe理员应该login到服务器,他们应该知道他们是什么这样做。
-
从高架接口pipe理权限
- 提升的
cmd窗口,PS窗口或资源pipe理器实例都可以避免UACpopup窗口。 (以Run As Administrator)
- 提升的
-
远程pipe理NTFS权限
- 通过未打开UAC的机器通过UNC进行连接。
-
创build一个额外的非pipe理组,在NTFS ACL中具有完全访问权限的所有文件和文件夹要操纵,并分配给您的pipe理员。
- UACpopup窗口不会(不应该)被触发,因为Explorer将不再需要pipe理权限,因为通过另一个非pipe理组来授予文件的访问权限。
最好的方法是更改registry项
registry中:HKEY_LOCAL_MACHINE \ SOFTWARE \微软\的Windows \ CurrentVersion \政策\系统; key = EnableLUA
确保它被设置为值0来禁用它。 您需要重新启动以使其生效。 在启用registry的情况下,Interface可能会将其显示为禁用
为本地pipe理员组的成员设置这两个策略,以便能够更改文件并连接到pipe理共享:
进行这些更改后将需要重新启动。
您还可以通过GPO或本地安全策略禁用pipe理员的pipe理员批准模式。
本地安全策略\安全设置\本地策略\安全选项\用户帐户控制:以pipe理员批准模式运行所有pipe理员 – 禁用