Windows-Server-2008-R2

NTFS 權限 - 即使顯式允許且無拒絕訪問也被拒絕

  • October 16, 2012

我希望有人可以幫助我解決這個 NTFS 權限問題。簡短的版本是我無法在 F:\SomeDir 中寫入新文件,即使我似乎通過“域管理員”組和第二個非特權組獲得了完全權限。資源管理器權限 UI 中的“有效權限”選項卡顯示我擁有完全控制權,並且 ACL 中的任何地方都沒有“拒絕”或其他任何看起來不尋常的地方。我通過 RDP 登錄機器並直接作為本地驅動器訪問磁碟,而不是通過共享。

F:\SomeDir>set U
USERDNSDOMAIN=THEOFFICE.LOCAL
USERDOMAIN=THEOFFICE
USERNAME=thisisme
USERPROFILE=C:\Users\thisisme

F:\SomeDir>icacls .
. BUILTIN\Administrators:(I)(F)
 CREATOR OWNER:(I)(OI)(CI)(IO)(F)
 THEOFFICE\Domain Admins:(I)(OI)(CI)(F)
 NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
 BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
 BUILTIN\Users:(I)(OI)(CI)(RX)

Successfully processed 1 files; Failed processing 0 files

F:\SomeDir>net group /domain "Domain Admins"
The request will be processed at a domain controller for domain THEOFFICE.local.

Group name     Domain Admins
Comment        Designated administrators of the domain

Members

-------------------------------------------------------------------------------
Administrator        thatguy                  thisisme
The command completed successfully.

F:\SomeDir>echo "whyUNoCreateFile?" > whyUNoCreateFile.txt
Access is denied.

我搜尋了答案並遇到了導致 UAC 的類似問題(例如,為什麼刪除 EVERYONE 組會阻止域管理員訪問驅動器?)。我目前無法關閉 UAC,所以我嘗試了一個我也是其中一員的“正常”組。該組沒有特殊權限分配,也不屬於任何管理組。仍然沒有骰子:

[***** This one command executed in an elevated shell *****]
F:\SomeDir>icacls . /grant THEOFFICE\iteveryone:(OI)(CI)F
processed file: .
Successfully processed 1 files; Failed processing 0 files


F:\SomeDir>net group /domain "iteveryone"
The request will be processed at a domain controller for domain THEOFFICE.local.

Group name     ITeveryone
Comment        

Members

-------------------------------------------------------------------------------
Administrator       thatguy                    thisisme
otherguy                someitguy
The command completed successfully.

F:\SomeDir>echo y > u
Access is denied.

如您所見,使用“正常”組沒有幫助。我已經註銷並重新登錄到伺服器以確保我的登錄令牌是最新的,並且無論如何我在創建伺服器之前屬於這些組。

如果我授予自己明確的權限,它確實允許我編寫文件:

[***** This one command executed in an elevated shell *****]
F:\SomeDir>icacls . /grant THEOFFICE\thisisme:(OI)(CI)F
processed file: .
Successfully processed 1 files; Failed processing 0 files

F:\SomeDir>echo y > u

F:\SomeDir>type u
y

我的要求是讓“域管理員”組擁有完全控制權,或者如果不禁用 UAC 就無法實現,那麼第二個組就可以了,但我都無法工作。

我真的很難過。有人可以指出我可能會忽略什麼嗎?

所以事實證明,這個問題正是另一篇文章中描述的基於 UAC 的問題;“ITeveryone”組對我不起作用,因為它是“分發”組,而不是“安全”組。我對一個我也是其成員的安全組嘗試了同樣的事情,它按預期工作。

引用自:https://serverfault.com/questions/437939