Windows-Server-2008-R2
NTFS 權限 - 即使顯式允許且無拒絕訪問也被拒絕
我希望有人可以幫助我解決這個 NTFS 權限問題。簡短的版本是我無法在 F:\SomeDir 中寫入新文件,即使我似乎通過“域管理員”組和第二個非特權組獲得了完全權限。資源管理器權限 UI 中的“有效權限”選項卡顯示我擁有完全控制權,並且 ACL 中的任何地方都沒有“拒絕”或其他任何看起來不尋常的地方。我通過 RDP 登錄機器並直接作為本地驅動器訪問磁碟,而不是通過共享。
F:\SomeDir>set U USERDNSDOMAIN=THEOFFICE.LOCAL USERDOMAIN=THEOFFICE USERNAME=thisisme USERPROFILE=C:\Users\thisisme F:\SomeDir>icacls . . BUILTIN\Administrators:(I)(F) CREATOR OWNER:(I)(OI)(CI)(IO)(F) THEOFFICE\Domain Admins:(I)(OI)(CI)(F) NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F) BUILTIN\Administrators:(I)(OI)(CI)(IO)(F) BUILTIN\Users:(I)(OI)(CI)(RX) Successfully processed 1 files; Failed processing 0 files F:\SomeDir>net group /domain "Domain Admins" The request will be processed at a domain controller for domain THEOFFICE.local. Group name Domain Admins Comment Designated administrators of the domain Members ------------------------------------------------------------------------------- Administrator thatguy thisisme The command completed successfully. F:\SomeDir>echo "whyUNoCreateFile?" > whyUNoCreateFile.txt Access is denied.
我搜尋了答案並遇到了導致 UAC 的類似問題(例如,為什麼刪除 EVERYONE 組會阻止域管理員訪問驅動器?)。我目前無法關閉 UAC,所以我嘗試了一個我也是其中一員的“正常”組。該組沒有特殊權限分配,也不屬於任何管理組。仍然沒有骰子:
[***** This one command executed in an elevated shell *****] F:\SomeDir>icacls . /grant THEOFFICE\iteveryone:(OI)(CI)F processed file: . Successfully processed 1 files; Failed processing 0 files F:\SomeDir>net group /domain "iteveryone" The request will be processed at a domain controller for domain THEOFFICE.local. Group name ITeveryone Comment Members ------------------------------------------------------------------------------- Administrator thatguy thisisme otherguy someitguy The command completed successfully. F:\SomeDir>echo y > u Access is denied.
如您所見,使用“正常”組沒有幫助。我已經註銷並重新登錄到伺服器以確保我的登錄令牌是最新的,並且無論如何我在創建伺服器之前屬於這些組。
如果我授予自己明確的權限,它確實允許我編寫文件:
[***** This one command executed in an elevated shell *****] F:\SomeDir>icacls . /grant THEOFFICE\thisisme:(OI)(CI)F processed file: . Successfully processed 1 files; Failed processing 0 files F:\SomeDir>echo y > u F:\SomeDir>type u y
我的要求是讓“域管理員”組擁有完全控制權,或者如果不禁用 UAC 就無法實現,那麼第二個組就可以了,但我都無法工作。
我真的很難過。有人可以指出我可能會忽略什麼嗎?
所以事實證明,這個問題正是另一篇文章中描述的基於 UAC 的問題;“ITeveryone”組對我不起作用,因為它是“分發”組,而不是“安全”組。我對一個我也是其成員的安全組嘗試了同樣的事情,它按預期工作。