Permissions

CIFS 上的管理員訪問權限不授予訪問權限/不映射到管理員組

  • May 4, 2018

我正在嘗試Administrator在 ACL 包含Administrators(組)時使用使用者訪問共享。

共享的權限是Administrator: Full Control。(這是 Windows 2016)

共享內對象的安全設置繼承了包含Administrators具有完全控制權的組以及 Users僅具有讀取和執行權限的組的 ACL。

我在從 CIFS 掛載中寫入/刪除這些對象時遇到問題。

共享從 Linux 掛載,沒有其他選項,除了指定要連接的管理員使用者,導致:

(rw,relatime,vers=1.0,sec=ntlmssp,cache=strict,username=Administrator,domain=SERVER,uid=0,noforceuid,gid=0,noforcegid,addr=1.2.3.6,file_mode=0755,dir_mode=0755,nounix,mapposix,rsize=61440,wsize=65536,actimeo=1)

預期結果:由於Administrator屬於 group Administrators,我應該擁有使用 CIFS 掛載點的完全訪問權限。

實際結果:我只能讀,不能寫,不能刪除。

由於某種原因,我看起來像 CIFS 上的“管理員”被映射到Users組,而不是Administrators:僅保留Administrators在 ACL 中並刪除不再Users提供任何訪問權限。Administrator在 Windows ACL 中顯式指定/添加(使用者)可提供 R/W 訪​​問權限。

這不僅是 Linux 掛載的遠端效果,而且還發生在 Windows 機器上(“您需要執行此操作的權限”、“您需要管理員的權限才能更改此文件”)。

在本地,您會發現這與 UAC 有關。問題還在於組策略“使用者帳戶控制:對內置管理員帳戶使用管理員批准模式”,該策略在相關機器上啟用但預設禁用(如果文件正確)。

在所描述的場景中,有效地禁用它可以訪問沒有 UAC 的使用者“管理員”。

剩下的問題是為什麼為“管理員”添加一個特定的 ACE 會有很大的不同,並且在任何情況下都不會觸發 UAC。

引用自:https://serverfault.com/questions/910541