Pengguna dalam grup admin domain tidak dapat mengakses direktori yang diizinkan oleh grup

15

Saya mengalami masalah yang agak menarik ketika bermain dengan salah satu lab domain saya.

Ada direktori pada server file 2008 R2 yang digunakan untuk pengalihan folder untuk semua pengguna di "Staf" OU. Direktori memiliki set izin berikut:

  • FILESERVER \ Administrator: Izinkan kontrol penuh ke direktori, subdirektori, dan file
  • DOMAIN \ Domain Admin: Izinkan kontrol penuh ke direktori, subdirektori, dan file
  • Pengguna yang Diotentikasi: Izinkan membuat file, membuat folder, menulis atribut, dan menulis atribut diperluas hanya ke direktori teratas

Selain itu, direktori juga berbagi jaringan dengan "Izinkan kontrol penuh" ke grup Pengguna yang Diotentikasi.

Ketika pengguna john.doe, anggota grup admin domain, mencoba mengakses direktori dari server file, ia mendapat kesalahan "Saat ini Anda tidak memiliki izin untuk mengakses folder ini". Mencoba mengakses jaringan berbagi dari server yang sama juga menghasilkan kesalahan izin ditolak (meskipun pengguna masih dapat mengakses direktori sendiri dalam berbagi).

Mengakses share dari komputer lain yang masuk sebagai pengguna yang sama memungkinkan akses yang dikonfigurasi.

Satu-satunya cara Anda dapat mengakses file dalam direktori saat masuk ke server file adalah dengan membuka prompt perintah yang ditinggikan. UAC dinonaktifkan untuk semua komputer di domain melalui Kebijakan Grup (Jalankan semua administrator dalam mode Persetujuan Admin diaktifkan, dan perilaku default diatur untuk naik tanpa diminta).

Semua jalan mengarah ke pengguna yang diizinkan mengakses, tetapi masih ditolak. Ada ide?

windows active-directory permissions Perbaikan Inggris
sumber
Apakah ada ACE Deny di ACL?
Shane Madden
Tidak ada izin penolakan yang ditetapkan dalam ACL untuk direktori untuk grup atau pengguna apa pun.
EnglishInfix

Jawaban:

13

Ini dengan desain. UAC menghapus kredensial admin dari proses apa pun yang tidak ditinggikan. Jika Anda mencoba menggunakan proses yang tidak ditinggikan untuk mengakses pembagian jarak jauh hanya menggunakan kredensial admin, UAC akan menghapus kredensial admin dari token keamanan proses dan proses akan menerima kesalahan "ditolak akses".

Untuk memperbaiki ini, Anda dapat:

  1. Jangan gunakan kredensial admin untuk mengamankan folder (buat grup umum hanya untuk tujuan ini), atau

  2. Nonaktifkan UAC di server file (tidak disarankan), atau

  3. Aktifkan kunci registri berikut di server file untuk menonaktifkan hanya bagian UAC ini.

Info lebih lanjut: Deskripsi Kontrol Akun Pengguna dan pembatasan jarak jauh di Windows Vista

John Homer
sumber
Jadi saya perhatikan ini dari Mei lalu. Tidak yakin mengapa itu muncul di RSS feed saya pagi ini ...
John Homer
John, aku senang mengubah jawabanku dan membuatmu jengkel, tapi aku ingin memastikan. Artikel KB berbunyi "aneh", di bawah Domain user accountsbagian itu, seolah-olah tidak ada hubungannya sama sekali. OP menyatakan ia berada di server file yang mengakses drive lokal dan jalur UNC langsung dari server. Saya tidak memiliki cara cepat (tetapi dapat jika perlu) menguji regkey tetapi hanya bertanya apakah Anda yakin ini memang akan memperbaiki masalah persis seperti yang dijelaskan OP dan bukan hanya untuk akses jalur UNC jarak jauh?
TheCleaner
Saya telah mengalami masalah ini beberapa kali. Mengakses share secara lokal adalah proses yang sama dengan share jarak jauh. Masih menggunakan pengalih UNC untuk mengakses folder dan akan dikenakan perilaku yang sama. Saya menduga mesin jarak jauh adalah versi Windows yang lebih lama (non-UAC). Sayangnya, OP tidak memberikan info itu. Hanya berdasarkan info yang dia berikan (terutama kebutuhan untuk meningkatkan agar berfungsi dengan benar) membuat saya percaya bahwa ini adalah masalahnya.
John Homer
Ya, mengerti, tetapi dia menyatakan dia pertama kali mencoba drive lokal (tidak ada bagian) dan kemudian bagian UNC. Tapi saya ngelantur ... Saya akan mengubah posting saya dan memperbaiki milik Anda ... Saya tidak punya alasan untuk tidak mempercayai jawaban Anda.
TheCleaner
Kunci registri TIDAK berfungsi untuk saya, bahkan setelah reboot. Mematikan UAC juga tidak berhasil. Hanya grup generik yang bekerja untuk saya.
skinneejoe
10

UAC melepaskan kredensial Admin Domain di server itu sendiri, itu adalah bagian dari cara kerja UAC (bodohnya IMO). Salah satu opsi adalah menonaktifkan UAC di server sepenuhnya untuk tidak menerima permintaan "Saat ini Anda tidak memiliki izin untuk mengakses folder ini".

EDIT: inilah contohnya btw: http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/9061bc1c-42ea-47ed-8c7d-56b07139fb86/

EDIT2: Jawaban John di bawah ini mungkin persis apa yang Anda cari. Cobalah dan laporkan kembali jika Anda bisa.

Pembersih
sumber
5
Opsi lain adalah menambahkan ACL ke folder untuk grup lain yang menjadi anggotanya, dengan izin yang sesuai.
Greg Askew
Maaf TheCleaner, tetapi Anda salah. Anda tidak harus menonaktifkan UAC untuk membuat ini berfungsi. Ada kunci registri (LocalAccountTokenFilterPolicy) yang hanya menonaktifkan bagian UAC ini. Info lebih lanjut di sini: support.microsoft.com/kb/951016
John Homer
@ JohnHomer - lihat komentar saya dalam jawaban Anda. Saya akan mengubah jawaban saya sebagai suatu kemungkinan tetapi tunjukkan dan upvote Anda juga, jika Anda yakin bahwa artikel KB berlaku untuk masalah drive server lokal serta OP yang dijelaskan.
TheCleaner
-1

Cara terbaik adalah mengubah kunci registri di 

registry::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system; key = EnableLUA
  • Pastikan diatur ke Nilai 0 untuk menonaktifkan
  • Anda perlu mem-boot ulang untuk mengaktifkannya.
  • Antarmuka mungkin memperlihatkannya sebagai dinonaktifkan ketika registri diaktifkan
Ben
sumber
3
Kunci kebijakan tidak seharusnya diatur secara manual. Mereka digunakan oleh manajemen kebijakan grup untuk menyimpan pengaturan. Info lebih lanjut: technet.microsoft.com/en-us/library/cc962657.aspx
John Homer