Користувач у групі адміністратора домену не може отримати доступ до каталогу, група має дозвіл на доступ

Я зіткнувся з досить цікавою проблемою, граючи з одним із моїх лабораторій домену.

На файловому сервері R2 2008 року є каталог, який використовується для перенаправлення папок для всіх користувачів в ОУ «Персонал». У каталозі встановлено такі дозволи:

• FILESERVER \ Administrators: Дозволити повний контроль над каталогом, підкаталогами та файлами
• DOMAIN \ Адміністратори домену: дозволити повний контроль над каталогом, підкаталогами та файлами
• Автентифіковані користувачі: дозволяють створювати файли, створювати папки, писати атрибути та записувати розширені атрибути лише у верхній каталог

Окрім цього, каталог також є мережевою часткою із "Дозволити повний контроль" групі "Автентифіковані користувачі".

Коли користувач john.doe, член групи адміністраторів домену, намагається отримати доступ до каталогу через сервер файлів, він отримує помилку "Ви не маєте дозволу на доступ до цієї папки". Спроба отримати доступ до мережевої спільної доступу з одного сервера також призводить до помилки, у якій відмовлено у дозволі (хоча користувач все ще може отримати доступ до власного каталогу в межах спільної доступу).

Доступ до спільного доступу з іншого комп’ютера, на якому ввійшов той самий користувач, дозволяє отримати доступ до конфігурації.

Єдиний спосіб отримати доступ до файлів у каталозі під час входу на файловий сервер - це відкрити підвищений командний рядок. UAC вимкнено для всіх комп’ютерів у домені за допомогою групової політики (запустити всіх адміністраторів у режимі затвердження адміністратора, а поведінку за замовчуванням встановити для підвищення без підказки).

Усі дороги вказують на те, що користувачеві заборонено доступ, але йому все одно заборонено. Будь-які ідеї?

Це за дизайном. UAC позбавляє облікових даних адміністратора від будь-якого непідвищеного процесу. Якщо ви намагаєтеся використовувати непідвищений процес для доступу до віддаленої спільної доступу, використовуючи лише облікові дані адміністратора, UAC позбавить облікових даних адміністратора з маркера безпеки процесу, і процес отримає помилку "в доступі заборонено".

Виправити це можна:

1. Не використовуйте облікові дані адміністратора для захисту папки (створіть загальну групу саме для цієї мети), або

2. Вимкнути UAC на файловому сервері (не рекомендується), або

3. Увімкніть наступний ключ реєстру на сервері файлів, щоб вимкнути саме цю частину UAC.

Додаткова інформація: Опис контролю облікових записів користувачів та віддалених обмежень у Windows Vista

UAC знімає дані адміністратора домену на самому сервері, це частина того, як працює UAC (тупо IMO). Один із варіантів - повністю відключити UAC на сервері, щоб не отримувати підказку "Ви зараз не маєте дозволу на доступ до цієї папки".

EDIT: ось приклад теми btw: http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/9061bc1c-42ea-47ed-8c7d-56b07139fb86/

EDIT2: Відповідь Джона нижче може бути саме тим, що ви шукаєте. Спробуйте це і повідомте, якщо зможете.

Найкращий спосіб - змінити ключ реєстру на

registry::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system; key = EnableLUA

• Переконайтеся, що встановлено значення 0 для відключення
• Вам потрібно перезавантажити, щоб це набуло чинності.
• Під час увімкнення реєстру інтерфейс може відображати його як відключений