我希望有人能帮我解决这个 NTFS 权限问题。简而言之,我无法在 F:\SomeDir 中写入新文件,尽管我似乎通过“域管理员”组和第二个非特权组获得了完全权限。资源管理器权限 UI 中的“有效权限”选项卡显示我拥有完全控制权,并且 ACL 中的任何地方都没有“拒绝”或其他任何看起来不寻常的东西。我通过 RDP 登录到计算机并直接作为本地驱动器访问磁盘,而不是通过共享。
F:\SomeDir>set U
USERDNSDOMAIN=THEOFFICE.LOCAL
USERDOMAIN=THEOFFICE
USERNAME=thisisme
USERPROFILE=C:\Users\thisisme
F:\SomeDir>icacls .
. BUILTIN\Administrators:(I)(F)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
THEOFFICE\Domain Admins:(I)(OI)(CI)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
BUILTIN\Users:(I)(OI)(CI)(RX)
Successfully processed 1 files; Failed processing 0 files
F:\SomeDir>net group /domain "Domain Admins"
The request will be processed at a domain controller for domain THEOFFICE.local.
Group name Domain Admins
Comment Designated administrators of the domain
Members
-------------------------------------------------------------------------------
Administrator thatguy thisisme
The command completed successfully.
F:\SomeDir>echo "whyUNoCreateFile?" > whyUNoCreateFile.txt
Access is denied.
我寻找答案并遇到了导致 UAC 的类似问题(例如为什么删除 EVERYONE 组会阻止域管理员访问驱动器?)。我目前无法关闭 UAC,因此我尝试使用我所属的“常规”组。此组没有特殊权限分配,也不属于任何管理组。仍然不行:
[***** This one command executed in an elevated shell *****]
F:\SomeDir>icacls . /grant THEOFFICE\iteveryone:(OI)(CI)F
processed file: .
Successfully processed 1 files; Failed processing 0 files
F:\SomeDir>net group /domain "iteveryone"
The request will be processed at a domain controller for domain THEOFFICE.local.
Group name ITeveryone
Comment
Members
-------------------------------------------------------------------------------
Administrator thatguy thisisme
otherguy someitguy
The command completed successfully.
F:\SomeDir>echo y > u
Access is denied.
如您所见,使用“常规”组没有帮助。我已经注销并重新登录服务器以确保我的登录令牌是最新的,而且无论如何我在创建服务器之前就属于这些组。
如果我授予自己明确的权限,它确实允许我写入文件:
[***** This one command executed in an elevated shell *****]
F:\SomeDir>icacls . /grant THEOFFICE\thisisme:(OI)(CI)F
processed file: .
Successfully processed 1 files; Failed processing 0 files
F:\SomeDir>echo y > u
F:\SomeDir>type u
y
我的要求是让“域管理员”组拥有完全控制权,或者如果不禁用 UAC 就无法实现这一点,那么第二个组也可以,但我无法让任何一个组工作。
我真的很困惑。有人能指出我可能忽略了什么吗?
答案1
所以事实证明,这个问题正是另一篇文章中描述的基于 UAC 的问题;“ITeveryone”组对我来说不起作用,因为它是一个“分发”组,而不是“安全”组。我对我也是其成员的安全组进行了同样的尝试,结果如预期一样。