是否可以為伺服器上的單個帳戶禁用“管理員批准模式”?
控制台應用程序在域中的單個伺服器上執行,其任務是刪除不再活動的使用者的一些家庭區域。這些家庭區域位於遍布網路的 50 多個不同的伺服器上。
該帳戶在帳戶的上下文中執行,該帳戶也是每個儲存伺服器上本地管理員組的成員,該帳戶對相關文件夾具有“完全控制”訪問權限。
這在一堆較舊的伺服器上效果很好,但在 Windows 2008 上會遇到問題。在這些伺服器上,為“本地管理員”組啟用了“管理員批准模式”。
例如,如果我右鍵點擊一個文件夾並嘗試訪問屬性/安全性(使用相同的服務帳戶),我會收到以下提示:
我可以按繼續,然後繼續使用完全控制權限。如果我在刪除文件時做同樣的事情,事情就會像預期的那樣工作。
是否可以在每個使用者/每個伺服器的基礎上禁用此功能,因此它將繼續適用於所有其他帳戶 - 但不適用於此處有問題的服務帳戶?
如果我在這裡搞砸了一些術語,請原諒我。我只是一個開發者。:)
編輯:明確表示,我說的是單個伺服器上的控制台應用程序,訪問網路上許多不同伺服器上的家庭區域。
此功能稱為 UAC(使用者帳戶控制)。它只能按伺服器而不是按使用者禁用,為此請轉到開始菜單,鍵入“msconfig”,然後打開列表中的唯一條目。在這個新視窗中,選擇“工具”選項卡並選擇“更改 UAC 設置”,然後將滑動刻度拉到禁用狀態。
我很確定在 Windows 8 以後你不能禁用 UAC(沒有系統資料庫黑客,但是 Windows 應用程序不起作用)。更好的方法是禁用管理員批准模式 (AAM):
在 Windows 資源管理器中訪問文件夾時,提示“您目前無權訪問此文件夾”。現在我知道這個文件夾設置了以下權限:
- 系統 - 完全控制
- 管理員 - 完全控制
- 使用者 - 創建文件夾追加數據
我的使用者帳戶是管理員的成員。我應該有權訪問此文件夾。
AAM 將在資源管理器啟動時為所有“管理員”組成員提供“標準使用者”訪問令牌。因此,當您點擊文件夾時,將彈出使用者訪問控制 (UAC) 請求權限。這會將您的使用者添加為單獨的 ACL(訪問控制列表)條目,並為您提供與“管理員”相同的權限。
對此的兩個解決方案:
- 創建一個與管理員具有相同權限的新組,將您的使用者添加到該組,將該組添加到您要訪問的文件夾中。您將擁有完全訪問權限,無需提示或添加單獨的使用者 ACL 條目。
- 禁用 AAM點擊此處
本質上,+R GPEDIT.msc
電腦配置 –> Windows 設置 –> 安全設置 –> 本地策略 –> 安全選項
- 使用者帳戶控制:內置管理員帳戶的管理員批准模式
- 使用者帳戶控制:管理員批准模式下管理員的提升提示行為
- 使用者帳戶控制:在管理員批准模式下執行所有管理員
按以下順序設置策略設置:
- 已禁用
- 無需提示即可提升
- 已禁用