Permissions
CIFS 上的管理員訪問權限不授予訪問權限/不映射到管理員組
我正在嘗試
Administrator
在 ACL 包含Administrators
(組)時使用使用者訪問共享。共享的權限是
Administrator: Full Control
。(這是 Windows 2016)共享內對象的安全設置繼承了包含
Administrators
具有完全控制權的組以及Users
僅具有讀取和執行權限的組的 ACL。我在從 CIFS 掛載中寫入/刪除這些對象時遇到問題。
共享從 Linux 掛載,沒有其他選項,除了指定要連接的管理員使用者,導致:
(rw,relatime,vers=1.0,sec=ntlmssp,cache=strict,username=Administrator,domain=SERVER,uid=0,noforceuid,gid=0,noforcegid,addr=1.2.3.6,file_mode=0755,dir_mode=0755,nounix,mapposix,rsize=61440,wsize=65536,actimeo=1)
預期結果:由於
Administrator
屬於 groupAdministrators
,我應該擁有使用 CIFS 掛載點的完全訪問權限。實際結果:我只能讀,不能寫,不能刪除。
由於某種原因,我看起來像 CIFS 上的“管理員”被映射到
Users
組,而不是Administrators
:僅保留Administrators
在 ACL 中並刪除不再Users
提供任何訪問權限。Administrator
在 Windows ACL 中顯式指定/添加(使用者)可提供 R/W 訪問權限。
這不僅是 Linux 掛載的遠端效果,而且還發生在 Windows 機器上(“您需要執行此操作的權限”、“您需要管理員的權限才能更改此文件”)。
在本地,您會發現這與 UAC 有關。問題還在於組策略“使用者帳戶控制:對內置管理員帳戶使用管理員批准模式”,該策略在相關機器上啟用但預設禁用(如果文件正確)。
在所描述的場景中,有效地禁用它可以訪問沒有 UAC 的使用者“管理員”。
剩下的問題是為什麼為“管理員”添加一個特定的 ACE 會有很大的不同,並且在任何情況下都不會觸發 UAC。