我创建了一个用户 admin,并将该用户放入管理员组(本地,没有 AD)。但此 admin 用户不具备与管理员用户本身相同的权限。
示例 1:某个文件归 SYSTEM 所有,管理员组拥有完全控制权。如果我尝试为某个用户添加对此文件的权限,则管理员用户无法执行此操作。管理员用户则可毫无问题地执行此操作。
示例 2:IE 增强安全配置对管理员设置为关闭,对用户设置为打开。对于管理员来说,这没问题,对于管理员用户,它仍然处于打开状态。
这是配置问题吗?如果是,我需要做什么才能解决?
答案1
这可能是由于用户帐户控制,这个功能(许多人都讨厌它)使得即使您拥有管理权限,除非您明确请求,否则您实际上并没有这些权限。有两个不同的策略管理 UAC 行为(均在 中找到Computer settings\Windows settings\Security settings\Local policies\Security options),一个用于内置帐户Administrator,另一个用于所有其他管理用户:
- 用户帐户控制:内置管理员帐户的管理员批准模式(默认禁用)
- 用户帐户控制:以管理员批准模式运行所有管理员(默认启用)
这意味着:默认情况下,内置Administrator帐户不受 UAC 影响,而所有其他管理用户是;因此,管理用户(不同于内置用户Administrator)可能实际上不具备管理权限,即使其是该Administrators组的成员。
更多信息这里。
答案2
我遇到了类似的情况,并按照以下步骤修复了它http://clintboessen.blogspot.com/2013/05/you-dont-currently-have-permission-to.html(适用于不同的情况)。这是我所拥有的和我所做的:
- 两台计算机,没有 Active Directory 域,一台装有 Win 8.1(例如名为 W81),另一台装有 Server 2012(例如名为 w12)
- w12 上的两个本地用户:[UserA] 和密码 A,[UserB] 和密码 B。两者都属于 [Administrators] 本地组。
- w81 上有两个本地用户:[UserA] 和 [UserB],其 PasswordA 和 PasswordB 与 w12 上的对应用户相同。均属于 [Administrators] 本地组。
- 我在 w12 上共享一个文件夹:a. 共享名称:Temp1$ b. 共享权限:[Everyone],完全控制 c. NTFS 权限:[Administrators],完全控制。此处没有其他组具有 NTFS 权限
- 以 [UserA] 身份登录 W12,我尝试使用 UNC \w12\Temp1$ 访问共享。我收到一条错误消息,提示我无权访问。找到了共享。只是无权访问。
- 以 [UserB] 身份登录 W81,我尝试使用 UNC \w12\Temp1$ 访问共享。我得到了同样的错误。重新启动 w12 没有帮助。
- 如果我将 [UserA] 和 [UserB] 明确添加到 NTFS 权限,他们现在就可以使用步骤 5 和 6 访问共享。
- 我在 w12 上运行了 GPEdit.msc,转到:
计算机配置-->Windows 设置-->安全设置-->本地策略-->安全选项
并使用建议 #1 和 #3 的设置:
#1,用户帐户控制:内置管理员帐户的管理员批准模式:已禁用。#3,用户帐户控制:在管理员批准模式下运行所有管理员:已禁用。
并且 #2 保持不变:#2,用户帐户控制:管理员批准模式下管理员提升权限提示的行为:提示非 Windows 二进制文件的同意
- 重新启动机器后,该情况不再发生。