Active-Directory

NTFS - 儘管是本地管理員組的一部分,但域管理員沒有權限

  • August 31, 2020

根據“最佳實踐”,我們 IT 部門的員工有兩個帳戶。非特權帳戶和作為全域域管理員成員的帳戶( $ DOMAIN\Domain Admins) group. On our file servers the Domain Admins group is added to the local Administrators ( $ 伺服器\管理員)組。本地管理員組對這些目錄授予完全控制權。很標準。

但是,如果我使用我的域管理員帳戶登錄伺服器以進入該目錄,我需要批准一個 UAC 提示,該提示說:“您目前無權訪問此文件夾。點擊繼續以永久訪問這個文件夾。” 儘管 $SERVER\Administrators(我是通過 Domain Admins 組的成員)已經擁有完全控制權,但點擊繼續會授予我的域管理員帳戶對該文件夾和下面任何其他內容的權限。

有人可以解釋這種行為以及管理文件共享的 NTFS 權限的適當方法是關於 Server 2008 R2 和 UAC 的管理權限嗎?

對,當程序請求管理員權限時,就會觸發 UAC。例如資源管理器,請求管理員權限,因為這是這些文件和文件夾上的 NTFS ACL 所需要的。

我知道你有四個選擇。

  1. 在您的伺服器上禁用 UAC。
  • 無論如何我都會這樣做(在一般情況下),並且會爭辯說,如果您在伺服器上需要 UAC,那麼您可能做錯了,因為一般來說,只有管理員應該登錄伺服器,他們應該知道他們是什麼正在做。
  1. 從提升的界面管理權限
  • 提升cmd的視窗、PS視窗或資源管理器實例都可以避免 UAC 彈出。( Run As Administrator)
  1. 遠端管理 NTFS 權限
  • 從未打開 UAC 的電腦通過 UNC 連接。
  1. 創建一個額外的非管理組,該組在 NTFS ACL 中對您要操作的所有文件和文件夾具有完全訪問權限,並將您的管理員分配給它。
  • UAC 彈出視窗不會(不應該)被觸發,因為 Explorer 將不再需要管理權限,因為對文件的訪問權限是通過另一個非管理組授予的。

引用自:https://serverfault.com/questions/446127