控制台应用在域中的单个服务器上运行,其任务是删除不再活跃的用户的一些家庭区域。这些家庭区域位于遍布网络的 50 多台不同的服务器上。
该帐户在某个帐户的上下文中运行,该帐户也是每个存储服务器上本地管理员组的成员,对相关文件夹具有“完全控制”访问权限。
这在很多旧服务器上运行良好,但在 Windows 2008 上却遇到了问题。在这些服务器上,“本地管理员”组启用了“管理员批准模式”。
例如,如果我右键单击一个文件夹并尝试访问属性/安全性(使用相同的服务帐户),我会收到以下提示:
我可以按“继续”,然后继续使用完全控制权限。如果我在删除文件时执行相同的操作,一切就会按预期进行。
是否可以基于每个用户/每个服务器禁用此功能,以便它继续适用于所有其他帐户 - 但不适用于此处讨论的服务帐户?
如果我在这里弄错了一些术语,请原谅我。我只是一名开发人员。:)
编辑:说清楚点,我在谈论单个服务器上的控制台应用程序,访问网络上许多不同服务器上的家庭区域。
答案1
此功能称为 UAC(用户帐户控制)。它只能针对每个服务器禁用,而不能针对每个用户禁用。要禁用它,请转到开始菜单,键入“msconfig”,然后打开列表中的唯一条目。在此新窗口中,选择“工具”选项卡并选择“更改 UAC 设置”,然后将滑动比例拉下至禁用状态。
答案2
我很确定在 Windows 8 及更高版本中您无法禁用 UAC(没有注册表黑客,但 Windows 应用程序无法工作)。更好的方法是禁用管理员批准模式 (AAM):
在 Windows 资源管理器中访问文件夹时,系统提示“您目前无权访问此文件夹”。现在我知道此文件夹设置了以下权限:
- 系统 - 完全控制
- 管理员 - 完全控制
- 用户 - 创建文件夹附加数据
我的用户帐户是管理员。我应该有访问此文件夹的权限。
AAM 将在启动 Explorer 时为所有“管理员”组成员提供“标准用户”访问令牌。因此,当您单击文件夹时,将弹出用户访问控制 (UAC) 请求权限。这会将您的用户添加为单独的 ACL(访问控制列表)条目,并授予您与“管理员”相同的权限。
对此有两种解决方案:
- 创建一个具有与管理员相同权限的新组,将您的用户添加到此组,将此组添加到您要访问的文件夹。您将拥有完全访问权限,无需提示或添加单独的用户 ACL 条目。
禁用 AAM点击这里
- 本质上,+R GPEDIT.msc
- 计算机配置-->Windows 设置-->安全设置-->本地策略-->安全选项
- 用户帐户控制:内置管理员帐户的管理员批准模式
- 用户帐户控制:管理员批准模式下管理员的提升权限提示行为
- 用户帐户控制:以管理员批准模式运行所有管理员
- 按以下顺序设置策略设置:
- 已禁用
- 无需提示即可提升
- 已禁用