我运行 Windows Server 2008 的文件服务器有两个逻辑驱动器;C: 驱动器包含所有系统和应用程序数据,D: 驱动器包含所有业务数据。D: 驱动器顶层有多个共享运行正常。但是...
通过远程桌面以交互方式登录文件服务器时,只有域管理员和本地管理员帐户可以浏览 D: 驱动器。我设置了一个名为“维护”的帐户并将其添加到本地管理员组,但使用此用户登录时,我无法浏览 D: 驱动器。D: 驱动器具有以下权限 ACL:
Full Access - SYSTEM
Full Access - MACHINE\Administrators
它甚至不让我查看 E: 驱动器的 ACL。因此,我尝试获取 E: 驱动器的所有权,然后我可以读取 ACL,并且“有效权限”显示我拥有完全访问权限。但我仍然收到此错误消息。
Location is not available
D:\ is not accessible.
Access is denied.
答案1
对我来说这听起来像是 UAC,访问驱动器需要提升权限 - 如果您以管理员身份运行 cmd shell(同时以维护帐户身份运行)会发生什么?那么您能看到驱动器的内容吗?默认情况下,在 2008 下,本地管理员和域管理员会在需要时自动提升权限,我不认为管理员帐户的普通成员会这样做。
编辑后添加:
您可以通过组策略修改此行为,但请记住默认设置是故意这样设置的 - 您要更改的特定策略是“用户帐户控制:以管理员批准模式运行所有管理员” - 您可以在以下位置找到有关如何执行此操作的详细信息这篇 MSDN 文章。
答案2
http://technet.microsoft.com/en-us/library/cc731677(WS.10).aspx
令牌更改 当 Windows® XP 或 Windows Server 2003 中管理员组成员的用户登录计算机时,该用户的令牌包含管理员组 SID,并且该用户具有与管理员组相同的权限。在 Windows Server 2008 和 Windows Vista 中,如果启用了 UAC,管理员 SID 仍存在于令牌中,但设置为仅拒绝。执行访问控制时,令牌中的此类条目仅用于拒绝访问 - 换句话说,用于匹配拒绝 ACE。该 SID 的任何允许 ACE 都将被忽略。这意味着您并不总是真正的管理员,即使您以管理员身份登录计算机。