根据“最佳实践”,我们 IT 部门的员工有两个帐户。一个是非特权帐户,另一个是属于全局域管理员 ($DOMAIN\Domain Admins) 组的帐户。在我们的文件服务器上,域管理员组被添加到本地管理员 ($SERVER\Administrators) 组。本地管理员组对这些目录具有完全控制权。非常标准。
但是,如果我使用域管理员帐户登录服务器以进入该目录,则需要批准 UAC 提示,提示“您当前无权访问此文件夹。单击继续以永久访问此文件夹。”单击继续将授予我的域管理员帐户对该文件夹及其下的任何其他内容的权限,尽管 $SERVER\Administrators(我通过域管理员组成为其成员)已经拥有完全控制权。
有人可以解释这种行为吗?以及关于使用 Server 2008 R2 和 UAC 的管理权限,管理文件共享的 NTFS 权限的适当方法是什么?
答案1
是的,当程序请求管理员权限时会触发 UAC。例如 Explorer,请求管理员权限,因为这些文件和文件夹上的 NTFS ACL 要求这样做。
据我所知,您有四个选择。
在您的服务器上禁用 UAC。
- 无论如何我都会这样做(一般情况下),并且会争辩说如果您需要服务器上的 UAC,那么您可能做错了,因为一般来说,只有管理员应该登录服务器,他们应该知道他们在做什么。
- 无论如何我都会这样做(一般情况下),并且会争辩说如果您需要服务器上的 UAC,那么您可能做错了,因为一般来说,只有管理员应该登录服务器,他们应该知道他们在做什么。
从提升的界面管理权限
- 提升的
cmd窗口、PS窗口或资源管理器实例均可避免 UAC 弹出窗口。(Run As Administrator)
- 提升的
远程管理 NTFS 权限
- 通过 UNC 从未打开 UAC 的机器进行连接。
- 通过 UNC 从未打开 UAC 的机器进行连接。
创建一个额外的非管理组,该组在 NTFS ACL 中对您想要操作的所有文件和文件夹具有完全访问权限,并将您的管理员分配给该组。
- UAC 弹出窗口不会(不应该)被触发,因为 Explorer 不再需要管理权限,因为文件的访问权限是通过另一个非管理组授予的。
答案2
为本地管理员组的成员设置以下两个策略,以便能够更改文件并连接到管理员共享:
进行这些更改后需要重新启动。
答案3
最好的方法是更改注册表项
注册表::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system; 键 = EnableLUA
确保将其设置为值 0 以禁用它。您需要重新启动才能使其生效。当注册表启用时,界面可能会将其显示为已禁用。
答案4
您还可以通过 GPO 或本地安全策略禁用管理员的管理员批准模式。
本地安全策略\安全设置\本地策略\安全选项\用户帐户控制:以管理员批准模式运行所有管理员 - 已禁用