我们刚刚安装了第一台 Windows Server 2008 R2 服务器。它将用作文件服务器。但是,我遇到了一个奇怪的问题,似乎是 UAC 导致的。
当我尝试共享文件夹时,我将所有人组设置为共享权限上的“完全控制”。然后,我设置 NTFS 权限,以便在格式化 NTFS 卷时它们不会从默认安全描述符继承,并且我选择删除当前描述符,以便我可以设置自己的描述符。我设置为本地管理员组具有完全控制权,域\域管理员组具有完全控制权,而内置系统用户具有完全控制权。
当我这样做时,我失去了作为域管理员对该文件夹的权限。是什么原因导致这种情况发生?该计算机已加入域,域管理员组是本地管理员组的一部分(无论如何这应该不重要,因为我在 NTFS 权限中专门拥有域管理员)。
默认的 NTFS 安全描述符如下所示:
修改后的安全性如下所示:
为什么这会导致登录的域管理员和任何其他域管理员失去访问权限?在 Windows Server 2003 计算机上不会出现此行为。
编辑:我做了更多测试,似乎只有该机器的登录用户被拒绝访问,即使登录用户是域管理员组的成员。域管理员可以通过网络访问共享。
编辑2:好的,感谢下面的 Zoredache,我能够找到正确的方向并弄清楚发生了什么。这确实是 UAC,但不是 Windows Server 2008 R2 上的默认 UAC 设置。我们实际上有一个域范围的 UAC 组策略对象,它正在更改服务器上的默认设置。
这是默认设置:
GPO 上的设置如下:
由于 GPO 优先于本地安全,这就是阻止我看到 NTFS 权限或访问该文件夹的原因。
我通过简单地创建一个新的 UAC GPO 并将 WMI 仅过滤到服务器来修复此行为。
答案1
您提到 UAC 是正确的。这是一个特征。请参阅此文了解如何禁用 UAC。