我最近一直在对我的家庭网络进行一些故障排除并得出了一个奇怪的结论,我希望得到一些澄清。
我习惯通过组而不是单个用户帐户来管理域环境中的共享权限。我家里有一台运行 Windows 7 Ultimate 的机器,我决定在该机器上共享一些目录。我将其设置为禁止访客访问并要求特别授予权限。(密码 moe?)。无论如何,经过一段时间后,我发现即使我创建的共享是通过本地组允许的,我也无法访问它们,除非我向目标用户提供特定权限。我只是没想到我必须这么做。
以下是详细情况。
网络是 Windows 工作组,而不是家庭组或 nt 域
PC_1 - Win 7 Ultimate - 经典模式共享 - 用户 BOB - 组管理员
PC_2 - win 7 启动器 - 客户端 - 用户 BOB - 组管理员
PC_3 - win xp pro - 客户端 - 用户 BOB - 组管理员
PC_1 上的共享仅向本地组管理员授予权限。PC_1 上的本地用户 BOB 是管理员成员。PC_2 和 PC_3 都无法浏览 PC_1 上的预期共享,因为它们被拒绝访问。此外,没有提出任何挑战。他们只是被拒绝了。将 BOB 专门添加到预期共享后,一切都正常了。
请记住,它不是一个 NT 域,而是一个工作组。但是,难道我不应该通过组而不是单个用户帐户来管理共享权限吗?
D.
答案1
你可能会遇到这样的情况:KB951016
知识库文章引用了 Vista,但它适用于 Vista/2008 及更高版本。本质上,当您尝试使用用户 BOB 连接到 PC_1 时,您连接的凭据默认情况下不会提升。因此 BOB 的管理员组成员身份不适用。Microsoft 将此称为“远程 UAC”。
您可以进行知识库文章中指定的注册表更改来修复它。或者您也可以创建一个新的本地组(不会被 UAC 过滤)并将权限授予该组而不是本地管理员组。(尽管您不能对默认共享执行此操作)
为了防止知识库文章消失,这里是它提到的注册表调整:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
LocalAccountTokenFilterPolicy = 1 (DWORD)