Security

Windows 2008 R2 NTFS 文件權限未按預期工作

  • March 28, 2012

我們剛剛安裝了我們的第一台 Windows Server 2008 R2 伺服器。它將成為一個文件伺服器。但是,我遇到了一個奇怪的問題,這似乎是 UAC 的結果。

當我嘗試共享文件夾時,我將每個人組設置為共享權限的“完全控制”。然後我設置了 NTFS 權限,以便在格式化 NTFS 卷時它們不會繼承預設的安全描述符,並且我選擇刪除目前的描述符以便我可以設置自己的。我設置為本地管理員組具有完全控制權,域\域管理員組具有完全控制權,系統內置使用者具有完全控制權。

當我這樣做時,我失去了作為域管理員對該文件夾的權限。是什麼導致這種情況發生?該機器已加入域,並且域管理員組是本地管理員組的一部分(無論如何這都不重要,因為我特別擁有 NTFS 權限中的域管理員)。

這是預設的 NTFS 安全描述符的樣子:

這是修改後的安全性的樣子:

為什麼這會導致登錄的域管理員和任何其他域管理員失去訪問權限?在 Windows Server 2003 機器上看不到這種行為。

編輯:我做了一些更多的測試,似乎只有該機器的登錄使用者被拒絕訪問,即使登錄的使用者是 Domain Admins 組的成員。域管理員通過網路訪問共享沒有問題。

編輯 2:好的,所以感謝下面的 Zoredache,我能夠走上正確的軌道並弄清楚發生了什麼。它確實是 UAC,但不是 Windows Server 2008 R2 上的預設 UAC 設置。我們實際上有一個域範圍的 UAC 組策略對象,它正在更改伺服器上的預設設置。

這是預設設置:

這就是 GPO 上的設置:

由於 GPO 優先於本地安全,這就是阻止我查看 NTFS 權限或訪問文件夾的原因。

我通過簡單地創建一個新的 UAC GPO 和 WMI 僅將其過濾到伺服器來修復此行為。

您提到 UAC 是對的。這是一個特點。有關如何禁用 UAC 的資訊,請參閱此內容。

管理員文件修改權限

引用自:https://serverfault.com/questions/374568