CORP-AD我在 Windows 2008R2 上运行了一个全新的 Active Directory ( )。我有一个域控制器 ( PDC01) 和一个成员服务器 ( ME01)。
成员服务器有一个C:和一个D:驱动器。
我们的标准构建的一部分是从驱动器的根目录中删除所有权限,D:但以下权限除外:
系统(完全控制) 管理员(完全控制)
我创建了一个新的域用户ADMIN01并授予其Domain Admins组成员身份。
Domain Admins是成员服务器本地组的成员Administrators。
ME01当我以域用户身份登录(通过 RDP)到成员服务器时,ADMIN01该用户无法访问该D:驱动器。然后,我尝试将Domain Admins具有完全控制权的组添加到驱动器的根目录D:,但我的ADMIN01用户仍然无法访问该D:驱动器:
ME01如果我以本地机器管理员身份登录,我就可以毫无困难地访问该D:驱动器。
我发现这个问题或多或少描述了同样的问题:
答案正确地表明这是一个 UAC 权限提升问题,但我对这句话感到困惑,特别是粗体部分:
您可以通过组策略修改此行为但请记住,默认设置是故意这样设置的- 您想要更改的具体策略是“用户帐户控制:在管理员批准模式下运行所有管理员” - 您可以在此 MSDN 文章中找到有关如何执行此操作的详细信息。
这是否意味着“用户帐户控制: 在管理员批准模式下运行所有管理员”不应该被禁用吗?
如果启用了此功能,我不会收到带有“继续”按钮 + 盾牌图标的 UAC 质询,我只是被拒绝访问驱动器。这是正常的吗?
答案1
答案2
看起来这实际上不是一个 UAC 问题,而是有人弄乱了驱动器级别的权限。
我将以本地管理员身份登录,然后比较在 C:和 D:驱动器上设置的权限,我敢打赌域管理员要么已被删除,要么已被明确拒绝。
答案3
听起来好像有人同意了行政人员没有管理员的完全控制权。
答案4
在更改组成员身份并将用户添加到域管理员组后,您是否真的完全以用户 ADMIN01 的身份注销?
您多次提到远程桌面,也许用户的会话刚刚断开,并且组成员身份更改直到用户完全注销并重新登录后才会生效(使用 Windows 也可以同时打开两个会话)。
ADMIN01 用户是否有权访问通常只有域管理员才能访问的其他管理工具?这将排除它是驱动器上的 ACL 问题还是组成员身份/权限问题。