背景信息:关键用户的管理员帐户需要不受限制地访问服务器上的文件夹。
-> 他通过 RDP 在服务器上工作或直接使用文件夹(共享)
所述管理员帐户位于名为 xyz 的域安全组中,我已将组 xyz 添加到服务器上的本地管理员组。
但是,如果我将 xyz 添加到 NTFS 权限(完全控制)或将 xyz 添加到内部的本地管理员(完全控制),则行为似乎会有所不同。
他们需要的是单独添加 xyz 的行为,但为什么这的行为完全不同呢?
这种行为在 Windows Server 2012R2 上似乎有所不同,据我记得,它并没有任何区别。
答案1
为了更详细地解释 Gregs 的回答,UAC 会过滤掉用户的管理员访问令牌。因此,如果你同意管理员组完全访问权限,除非明确同意 UAC 对话框,否则属于该组的用户将不会拥有该令牌。如果您授予组坐标完全访问权限,那么您的用户帐户确实具有该令牌,因此具有相同的权限。
那么,您需要做什么才能获取令牌?以管理员身份运行 explorer.exe 或 cmd.exe(或您正在使用的任何应用程序)。这会暂时将访问令牌添加到进程中。或者停用 UAC,但这并不理想。
答案2
这是用户帐户控制的预期行为。2012 R2 和 2019 之间没有任何区别。