首先,我的母语不是英语,因此对于可能出现的错误我深表歉意。
我正在使用带有 Active Directory 的 WS2008R2 服务器和一个使用 C# 代码管理该 AD 的 Web 平台。
一组用户必须能够创建用户帐户,但在此过程中,将(并且必须)为该新帐户创建磁盘配额。由于“创建者”不能是管理员组的成员,因此拒绝访问 c/: 磁盘。
所以,我想执行 文件服务器资源管理器 使用非管理员帐户使用 C# 代码进行操作。 代码是正确的,用管理员账户可以正常工作。所以,问题出在硬盘的权限上。
我在网上寻求帮助,但没有成功。看来配额委派是不可能的。只有管理员才能执行此操作。
一位同事给了我一点帮助,并在论坛上找到了 GPO“绕过遍历检查”,但这似乎不是好方法。
任何帮助都将不胜感激。
答案1
管理 FSRM 需要 FSRM 主机服务器上的本地管理员权限 (来源)。
当您将服务器升级为域控制器时,它将不再拥有任何本地帐户。它的所有帐户都将成为域帐户。它的本地管理员将成为域管理员帐户。此时,服务器的本地管理员和域管理员是同一个人。
由于 FSRM 需要本地管理员权限进行配置,并且您的服务器是没有本地帐户的域控制器,因此您现在必须具有域管理员权限才能管理您的 FSRM 实例。
对此您可能的解决方案是:
- 将文件服务器和域控制器(这是最佳实践)分离到 2 个独立的物理服务器上,或分离到两个独立的虚拟机中(例如使用 Hyper-V)。
- 等到 Windows Server 的下一个版本,看看是否已添加 FSRM 委派的功能。
- 接受使用域管理员凭据运行软件的风险。