Administrator当 ACL 包含Administrators(组)时,我尝试使用用户访问共享。
共享上的权限为Administrator: Full Control。(这是 Windows 2016)
共享内对象的安全设置继承了包含Administrators具有完全控制权限的组以及 Users仅具有读取和执行权限的组的 ACL。
我无法从 CIFS 挂载写入/删除这些对象。
该共享是从 Linux 安装的,无需其他选项,除了指定要连接的管理员用户外,结果如下:
(rw,relatime,vers=1.0,sec=ntlmssp,cache=strict,username=Administrator,domain=SERVER,uid=0,noforceuid,gid=0,noforcegid,addr=1.2.3.6,file_mode=0755,dir_mode=0755,nounix,mapposix,rsize=61440,wsize=65536,actimeo=1)
预期结果:由于Administrator属于组Administrators,我应该拥有使用 CIFS 挂载点的完全访问权限。
实际结果:只能读,不能写,也不能删除。
看起来出于某种原因,CIFS 上的“管理员”被映射到了Users组,而不是Administrators:只保留Administrators在 ACL 中并删除Users则不再提供任何访问权限。Administrator在 Windows ACL 中明确指定/添加(用户)将提供 R/W 访问权限。
答案1
它不仅是来自 Linux 安装的远程效果,也可能来自 Windows 机器(“您需要权限才能执行此操作”、“您需要管理员的权限才能更改此文件”)。
在本地,您会发现这与 UAC 有关。问题还在于组策略“用户帐户控制:对内置管理员帐户使用管理员批准模式”,该策略在相关计算机上已启用,但默认情况下处于禁用状态(如果文档正确)。
在所述场景中,禁用它可以有效地向用户“管理员”授予无需 UAC 的访问权限。
剩下的问题是为什么为“管理员”添加特定的 ACE 会有如此大的不同并且在任何情况下都不会触发 UAC。