用户帐户控制、Explorer 和本地用户组之间的奇怪交互

用户帐户控制、Explorer 和本地用户组之间的奇怪交互

MACHINE我在 Windows Server 2008 安装(“ ”)上的数据驱动器上托管了一个示例目录。只有SYSTEMDomain AdminsAdministrators(local) 对此示例目录应用了完全控制权限。没有应用任何其他权限(我倾向于对权限有点紧张,从最小设置开始并扩展更容易)。

当我尝试在 Explorer 中打开目录时,我收到消息“您目前无权访问此文件夹。单击继续以获取对此文件夹的访问权限。”我肯定是在域管理员中。是的,我检查过了。如果我继续,则会应用权限,特别是将我的帐户添加到该目录。

我删除了特定于我帐户的权限,然后将我的帐户添加到本地管理员组。我收到了同样的错误。

当我为该MACHINE\Users组添加权限时,我可能会进入该目录。

当我禁用 UAC 时,这种奇怪的行为就消失了。

就好像启用 UAC 时我的域管理员和本地管理员组成员身份被忽略了。

有人能向我解释一下这种令人困惑的行为吗?我知道我可以关闭 UAC 或将组添加MACHINE\Users到我的权限中,但我想了解问题所在,而不是置之不理。

答案1

您看到的是用户帐户控制的设计行为。请查看以下文章,详细了解启用 UAC 后“幕后”发生的情况。

基本上,你的管理权限当 UAC 启用时,将从您的安全令牌中剥离(正如您所观察到的)。实际上,UAC 允许您使用“管理员”级别的帐户登录,但强制该帐户“表现”为受限用户。当您尝试执行需要管理员级别凭据的操作时,UAC 将提示提升。提升成功完成后,您尝试执行的操作将使用非 UAC 过滤的安全令牌(仍包含您的所有管理组成员身份)完成。

顺便说一下,通常您不需要(实际上也不应该)在权限中命名“DOMAIN\Domain Admins”。如果计算机已加入“DOMAIN”,则本地“Administrators”组将包含“DOMAIN\Domain Admins”,因此命名“DOMAIN\Domain Admins”是多余的。

答案2

我也遇到过这个问题,并努力寻找答案。虽然 UAC 和特权提升是有道理的,但我仍然需要一个合乎逻辑的解释,说明为什么它必须在安全设置上乱涂乱画才能实现访问。我的问题源于尝试访问 Macrium Reflect 备份安装映像,所有安全性仍然完好无损,就像它是外部驱动器一样。由于映像是只读的,因此永久 ACL 更改无法工作。

我认为我应该直接提升为管理员并获得访问权限。否则,管理员组有什么用呢?

这个问题基本上是 UAC 的工作方式和 Windows 资源管理器的工作方式的结合。UAC 使您的用户令牌减去管理员组,并且需要提升权限才能启用它并获得组成员身份的好处。提升权限只能在创建进程时发生。现有进程令牌无法提升。Windows 资源管理器是一个在您登录时启动的系统进程。因此它没有提升权限,并且无法提升权限来访问文件夹。但是,其他方法确实有效。您以管理员身份运行命令提示符并访问它。您可以以管理员身份运行记事本并在其中打开文件。并且您可以通过管理共享远程访问文件夹,因为本地 Windows 资源管理器不需要提升权限才能进行该访问。

以下是关于这个问题的链接。希望对您有所帮助。

http://www.networksteve.com/forum/topic.php/Windows_Server_2008_R2_and_UAC_and_%22you_don't_currently_have_per/?TopicId=14554&Posts=4

http://consumersupport.lenovo.com/ph/en/Guides/OS_guide_show_1261110914140580.html

相关内容