我正在管理一些 Windows Server 2008、Windows Server 2008 R2 和 Windows Server 2012 机器上的活动目录单域环境。
几周以来,我遇到了一个奇怪的问题。一些用户(不是全部!)报告说,他们无法再将文件保存、复制或写入根驱动器 c,无论是在他们的客户端(vista、win 7)上,还是通过 Windows Server 2008 计算机上的远程桌面连接。从那时起,即使运行需要直接写入根驱动器权限而没有管理员权限的程序也无法执行此操作。
受影响的用户具有本地管理员权限。
我现在面临的问题是:是什么导致了系统行为的这种变化?为什么会发生这种情况?我还没有找到答案。
这件事发生之前我做的最后一件事是什么?
发生此事件之前采取的最后一项措施是推出一个 GPO,其中包含根据用户安全组成员身份为用户提供的网络驱动器映射。所有网络驱动器都位于启用了 samba 的 Linux 服务器上。
我们没有更改任何 UAC 设置,并且它们一直处于激活状态。
但是我无法想象推出这个 GPO 会导致问题。有人遇到过这样的问题吗?
万一:
我知道,由于某种原因,自从 Windows Vista 和 UAC 实施以来,没有管理权限的用户无法写入根驱动器。我不认为这些用户应该能够写入驱动器 c,但我试图弄清楚为什么会发生这种情况,几周前它仍然有效。
我还知道,本地管理员组成员用户默认不会执行具有管理员权限的任何操作,除非他或她执行具有此权限的程序。
我做了什么了?
我检查了受影响程序、受影响客户端/服务器的权限。没有发现任何异常。
我检查了我们所有的 GPO,看是否存在任何可能阻止受影响用户写入根驱动器的限制。没有发现任何设置。
我检查了受影响用户的 UAC 设置,并将其与仍可写入根驱动器的其他用户进行了比较。一切都很相似。
我通过互联网搜索并试图找到遇到类似问题的人。但没有找到。
有人有想法吗?非常感谢。
编辑:
推出的 GPO 执行以下操作(如果设置的名称不完全相同,请原谅,我将设置翻译成了英文):
**Windows Settings --> Network Drive Mappings --> Drive N: --> General:**
Action: Replace
**Properties:**
Letter: N
Location: \\path-to-drive\drivename
Re-Establish connection: deactivated
Label as: Name_of_the_Share
Use first available Option: deactivated
**Windows Settings --> Network Drive Mappings --> Drive N: --> Public:
Options:**
On error don't process any further elements for this extension: no
Run as the logged in user: no
remove element if it is not applied anymore: no
Only apply once: no
**Securitygroup:**
Attribute --> Value
bool --> AND
not --> 0
name --> domain\groupname
sid --> sid-of-the-group
userContext --> 1
primaryGroup --> 0
localGroup --> 0
**Securitygroup:**
Attribute --> Value
bool --> OR
not --> 0
name --> domain\another-groupname
sid --> sid-of-the-group
userContext --> 1
primaryGroup --> 0
localGroup --> 0
编辑:受影响用户的错误消息如下:
Due to an unexpected error you can't copy the file.
Error-Code 0x80070522: The client is missing a required permission.
命令 icacls C: 显示以下内容:
NT-AUTORITY\SYSTEM:(OI)(CI)(F)
PRE-DEFINED\Administrators:(OI)(CI)(F)
computername\username:(OI)(CI)(F)
一位大学同学刚刚告诉我,主域控制器 (PDC) 也从 Windows Server 2008 更改为 Windows Server 2012。这也可能是一个原因。有什么建议吗?
答案1
我目前还不能发表评论,而且这也不是解决方案,但我注意到,除了 Server 2012 和 Server 2012 R2 之外,Windows 7 和 8 也存在同样的行为。最重要的是,即使在更改管理员帐户后,这种情况也会发生在管理员帐户中所有权以及驱动器根目录的完整权限授予管理员帐户。此外,此体验是在工作组中的计算机的本地帐户上观察到的,因此网络和域中不是问题的一部分。
例如,管理员不允许将文件从 D: 驱动器复制到 E:\root,但可以复制到 E:\temp,然后移动文件复制到 E:\。 不允许复制,但可以在同一驱动器上移动。
如果您确实有允许执行这些功能的用户:
一些用户(不是全部!)报告说他们无法再将文件保存、复制或写入根驱动器 c
我建议仔细研究一下他们的账户与其他账户相比有什么独特之处。至于为什么行为会发生变化,我只是假设这是微软更新带来的。(算是答案 :-)