域pipe理员组中的用户无法访问该组有权访问的目录

我在使用我的一个域名实验室时遇到了一个相当有趣的问题。

2008 R2文件服务器上有一个目录,用于“Staff”OU中的所有用户的文件夹redirect。 该目录具有以下权限集:

  • FILESERVER \ Administrators:允许完全控制目录,子目录和文件
  • DOMAIN \ Domain Admins:允许完全控制目录,子目录和文件
  • 经过身份validation的用户:只允许创build文件,创build文件夹,写入属性并将扩展属性写入顶层目录

另外,该目录也是一个networking共享,其中“允许完全控制”Authenticated Users组。

当用户john.doe(域pipe理员组的成员)尝试从文件服务器访问目录时,他将收到错误“您当前没有权限访问此文件夹”。 尝试从同一台服务器访问networking共享也会导致权限被拒绝错误(尽pipe用户仍然可以在共享内访问他自己的目录)。

从同一用户login的另一台计算机访问共享允许按configuration进行访问。

login到文件服务器时可以访问目录中的文件的唯一方法是打开提升的命令提示符。 通过组策略禁用域中所有计算机的UAC(在pipe理员批准模式下启用所有pipe理员,默认行为设置为提升而不提示)。

所有道路指向允许访问的用户,但仍然被拒绝。 有任何想法吗?

这是devise。 UAC从任何未升级的进程中剥离pipe理凭证。 如果您尝试使用未升级的进程仅使用pipe理员凭据访问远程共享,则UAC将从进程的安全令牌中剥离pipe理员凭据,并且该进程将收到“访问被拒绝”错误。

为了解决这个问题,你可以:

  1. 不要使用pipe理员凭据来保护文件夹(为此创build一个通用组),或者

  2. 在文件服务器上禁用UAC(不推荐),或者

  3. 启用文件服务器上的以下registry项以禁用UAC的这一部分。

更多信息: 在Windows Vista中的用户帐户控制和远程限制的说明

UAC正在剥离服务器本身的Domain Admin凭据,这是UAC(愚蠢的IMO)工作的一部分。 一种select是完全禁用服务器上的UAC,以便不会收到“您当前没有权限访问此文件夹”的提示。

编辑:这里是一个例子线程btw: http : //social.technet.microsoft.com/Forums/en-US/winservergen/thread/9061bc1c-42ea-47ed-8c7d-56b07139fb86/

编辑2:约翰的答案可能正是你在找什么。 试试看,如果可以的话报告。

最好的方法是更改​​registry项

 registry::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system; key = EnableLUA 
  • 确保将其设置为值0以禁用
  • 您需要重新启动以使其生效。
  • 在启用registry的情况下,Interface可能会将其显示为禁用