NTFS - Domain Admins尽管属于Local Administrators组,但没有权限

Modified on: Thu, 17 Oct 2019 08:40:02 +0800

根据“最佳实践”,我们IT部门的员工有两个帐户。无特权帐户和作为全局Domain Admins($ DOMAIN \ Domain Admins)组成员的帐户。在我们的文件服务器上,Domain Admins组将添加到本地Administrators($ SERVER \ Administrators)组。本地管理员组已在这些目录上授予完全控制权限。很标准。

但是,如果我使用我的域管理员帐户登录服务器以进入该目录,我需要批准一个UAC提示,其中显示“您目前无权访问此文件夹。请单击继续永久访问此文件夹。“单击“继续”为我的域管理员帐户提供了对该文件夹及其他任何内容的权限,尽管$ SERVER \ Administrators(我通过Domain Admins组成员)已经具有完全控制权。

有人可以解释这种行为以及管理文件共享的NTFS权限的适当方法是关于Server 2008 R2和UAC的管理权限吗?

作者:kce

最佳答案

是的,当程序请求管理员权限时会触发UAC。例如资源管理器,请求管理员权限,因为这是那些文件和文件夹上的NTFS ACL所需要的。

我有四个选项我知道。

  1. 在您的服务器上禁用UAC。


    • 我还是这样做(在一般情况下),并且会争辩说如果你在服务器上需要UAC,你可能做错了,因为一般来说,只有管理员应该登录服务器,他们应该知道什么他们正在做。

  2. 从提升的界面管理权限


    • 高架cmd窗口,PS窗口或资源管理器实例都可以避免UAC弹出窗口。 (Run As Administrator

  3. 远程管理NTFS权限


    • 通过UNC从没有打开UAC的机器连接。

  4. 创建一个额外的非管理组,该组在NTFS ACL中具有对您要操作的所有文件和文件夹的完全访问权限,并将管理员分配给它。


    • 不会(不应该)触发UAC弹出窗口,因为资源管理器将不再需要管理员权限,因为通过另一个非管理组授予对文件的访问权。
  5. 醇>

相关问答

添加新评论