我有一个Windows Server 2008安装(“ MACHINE ”)上的数据驱动器上托pipe的示例目录。 只有SYSTEM , Domain Admins和Administrators (本地)具有适用于此示例目录的完全控制权限。 没有其他权限被应用(我倾向于对权限有点紧张,并且以最小集合和扩展开始更容易)。
当我尝试打开资源pipe理器中的目录时,收到消息“您当前没有权限访问此文件夹,请单击”继续以访问此文件夹“。 我绝对是在域pipe理员。 是的,我查了一下。 如果我继续,权限是专门添加我的帐户到该目录。
我删除了特定于我的帐户的权限,然后将我的帐户添加到本地pipe理员组。 我收到相同的错误。
当我添加MACHINE\Users组的权限时,我可以进入该目录。
当我禁用UAC时,这种奇怪的行为就消失了。
就好像我在域pipe理员和本地pipe理员组中的成员资格在启用UAC时被忽略。
有人能解释这个令人困惑的行为吗? 我意识到我可以closuresUAC或将MACHINE\Users组添加到我的权限,但是我想理解这个问题,而不是仅仅将它移开。
您正在看到用户帐户控制的devise行为。 看看下面的文章,了解更多有关启动UAC时“引擎盖下”正在发生的事情。
基本上,当启用UAC时,您的pipe理权限将从您的安全令牌中剥离(就像您正在观察的一样)。 实际上,UAC允许您使用“pipe理员”级别的帐户login,但强制帐户像“受限用户”一样“行动”。 当您尝试执行需要pipe理员级别凭据的操作时,UAC将提示升级。 提升成功完成后,您尝试执行的操作使用非UAC筛选的安全性令牌(仍包含您的所有pipe理组成员资格)完成。
http://www.windowsecurity.com/articles/Exposing-Microsoft-Windows-7-User-Account-Control-UAC.html
http://technet.microsoft.com/en-us/library/cc709691(WS.10).aspx
作为aisde,通常你不需要(也不应该)在权限中命名“DOMAIN \ Domain Admins”。 如果机器join“DOMAIN”,本地“pipe理员”组将包含“DOMAIN \ Domain Admins”,因此命名“DOMAIN \ Domain Admins”是多余的。
我也遇到了这个问题,并大声search答案。 虽然UAC和权限提升是有意义的,但我仍然需要合理的解释,为什么它应该在安全设置上涂写以实现访问。 我的问题来自于尝试访问Macrium Reflect备份安装的映像,所有安全性仍然保持不变,就像它是一个外部驱动器一样。 由于该映像是只读的,因此永久ACL更改无法工作。
我以为我应该简单地提升到pipe理员,并获得访问权限。 否则,pipe理员组有什么好处?
这个问题基本上是UAC工作方式和Windows资源pipe理器工作方式的组合。 UAC使您的用户令牌减去pipe理员组,并且需要提升以启用它并获得组成员资格的好处。 只能在创build过程时进行高程升降。 现有的stream程令牌无法升级。 Windows资源pipe理器是login时启动的系统进程。 所以它没有被提升,并且不能被提升来访问文件夹。 但是,其他方法可行。 您以pipe理员身份运行命令提示符并访问它。 您可以以pipe理员身份运行NotePad并在其中打开文件。 而且您可以通过pipe理共享远程访问文件夹,因为本地Windows资源pipe理器不需要为该访问提升。
以下是在这个问题上教育我的链接。 希望这可以帮助。
http://www.networksteve.com/forum/topic.php/Windows_Server_2008_R2_and_UAC_and_%22you_don't_currently_have_per /?TopicId = 14554&Posts = 4
http://consumersupport.lenovo.com/ph/en/Guides/OS_guide_show_1261110914140580.html