NTFS 权限 - 即使明确允许且不拒绝,访问仍被拒绝

tag-icon tag-icon windows-server-2008-r2 permissions ntfs
NTFS 权限 - 即使明确允许且不拒绝,访问仍被拒绝

我希望有人能帮我解决这个 NTFS 权限问题。简而言之,我无法在 F:\SomeDir 中写入新文件,尽管我似乎通过“域管理员”组和第二个非特权组获得了完全权限。资源管理器权限 UI 中的“有效权限”选项卡显示我拥有完全控制权,并且 ACL 中的任何地方都没有“拒绝”或其他任何看起来不寻常的东西。我通过 RDP 登录到计算机并直接作为本地驱动器访问磁盘,而不是通过共享。

F:\SomeDir>set U
USERDNSDOMAIN=THEOFFICE.LOCAL
USERDOMAIN=THEOFFICE
USERNAME=thisisme
USERPROFILE=C:\Users\thisisme

F:\SomeDir>icacls .
. BUILTIN\Administrators:(I)(F)
  CREATOR OWNER:(I)(OI)(CI)(IO)(F)
  THEOFFICE\Domain Admins:(I)(OI)(CI)(F)
  NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
  BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
  BUILTIN\Users:(I)(OI)(CI)(RX)

Successfully processed 1 files; Failed processing 0 files

F:\SomeDir>net group /domain "Domain Admins"
The request will be processed at a domain controller for domain THEOFFICE.local.

Group name     Domain Admins
Comment        Designated administrators of the domain

Members

-------------------------------------------------------------------------------
Administrator        thatguy                  thisisme
The command completed successfully.

F:\SomeDir>echo "whyUNoCreateFile?" > whyUNoCreateFile.txt
Access is denied.

我寻找答案并遇到了导致 UAC 的类似问题(例如为什么删除 EVERYONE 组会阻止域管理员访问驱动器?)。我目前无法关闭 UAC,因此我尝试使用我所属的“常规”组。此组没有特殊权限分配,也不属于任何管理组。仍然不行:

[***** This one command executed in an elevated shell *****]
F:\SomeDir>icacls . /grant THEOFFICE\iteveryone:(OI)(CI)F
processed file: .
Successfully processed 1 files; Failed processing 0 files


F:\SomeDir>net group /domain "iteveryone"
The request will be processed at a domain controller for domain THEOFFICE.local.

Group name     ITeveryone
Comment        

Members

-------------------------------------------------------------------------------
Administrator       thatguy                    thisisme
otherguy                someitguy
The command completed successfully.

F:\SomeDir>echo y > u
Access is denied.

如您所见,使用“常规”组没有帮助。我已经注销并重新登录服务器以确保我的登录令牌是最新的,而且无论如何我在创建服务器之前就属于这些组。

如果我授予自己明确的权限,它确实允许我写入文件:

[***** This one command executed in an elevated shell *****]
F:\SomeDir>icacls . /grant THEOFFICE\thisisme:(OI)(CI)F
processed file: .
Successfully processed 1 files; Failed processing 0 files

F:\SomeDir>echo y > u

F:\SomeDir>type u
y

我的要求是让“域管理员”组拥有完全控制权,或者如果不禁用 UAC 就无法实现这一点,那么第二个组也可以,但我无法让任何一个组工作。

我真的很困惑。有人能指出我可能忽略了什么吗?

答案1

所以事实证明,这个问题正是另一篇文章中描述的基于 UAC 的问题;“ITeveryone”组对我来说不起作用,因为它是一个“分发”组,而不是“安全”组。我对我也是其成员的安全组进行了同样的尝试,结果如预期一样。

相关内容