Неможливо підключитися до загальної частки адміністратора за умовчанням у Windows 2008

17

У мене є сервер Windows 2008, який я намагаюся підключити до загальної адміністративної частки

\\servername\c$

Я можу підключитися до нього за допомогою типового облікового запису адміністратора. Але якщо я спробую підключитися за допомогою свого облікового запису користувача, який є членом групи Адміністратори, я не можу. Що я пропускаю?

windows-server-2008 permissions

— фільтруз
джерело

2

Яка група адміністраторів? Місцеві адміністратори на пристрої, адміністратори домену або просто звичайні адміністратори?

— phuzion

1

Також у вас це налаштування в домені? Якщо так, чи є ваші облікові записи AD у домені адміністраторів?

— phuzion

Сервер не в домені. Це група адміністраторів на локальній машині.

— philcruz

18

Так, UAC налаштовано так, щоб не дозволяти віддалено отримувати доступ до спільних спільних ресурсів. Щоб увімкнути, створіть значення DWORD LocalAccountTokenFilterPolicy за цим ключем у реєстрі

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\

0 - побудувати відфільтрований маркер (увімкнено віддалений UAC)
1 - побудувати підвищений маркер (віддалений UAC відключений)

Встановивши запис DWORD на 1, ви зможете отримати доступ до адміністративних спільних ресурсів, оскільки віддалений маркер входу не буде відфільтрований.

Про це йдеться в цій статті KB, http://support.microsoft.com/kb/947232 . (Це для Vista, але це стосується Windows Server 2008 R2)

— фільтруз
джерело

1

у нас була ця проблема, але лише з Windows Server 2008 R2. Windows Server 2008 взагалі не проявляв такої поведінки, тому він, очевидно, новий для R2 2008 року (разом із Vista та Windows 7).

— Джефф Етвуд

Дивовижно! Саме у мене була проблема w / W2K8R2 в лабораторному тесті на подвійне захоплення. Спасибі!

— WaldenL

Я відповів на цю відповідь щонайменше рік тому і посилаюся на цю сторінку принаймні раз на місяць. Якби тільки я міг би знову відкликати це.

— Саул Долгін

Я б схвалив це 4 рази, якби міг.

— Курт Коллер

Я знаю, що я відхилив цю відповідь. Я просто хочу зазначити, що ви можете змінити це налаштування за допомогою місцевої чи групової політики. Я багато разів бачив, як люди встановлюють цей ключ за допомогою політики реєстру замість групової політики. Якщо ви вирішите змінити значення в реґії політики, робіть це лише локально на сервері.

— Том

7

У вас увімкнено контроль доступу користувачів. Відключіть його та спробуйте ще раз.

Якщо UAC увімкнено, то членство в локальній групі адміністраторів НЕ дає вам права адміністратора місцевого значення.

JR

Re LocalAccountTokenFilterPolicy:

цей параметр реєстру дійсно дозволяє всім членам групи місцевих адміністраторів користуватися адміністраторами C $, Admin $ тощо на сервері 2008.

Однак якщо ACL в каталозі є "Адміністратори: Повний контроль", то члени локальної групи адміністраторів (крім адміністратора) все ще не мають доступу до каталогу, хоча ACL надає їм доступ. На це не впливає вищевказане налаштування реєстру.

— Джон Ренні
джерело

Я підозрюю, що це проблема UAC, але я вважаю за краще залишити його ввімкненим, оскільки це більш безпечно. Якщо я є членом групи адміністраторів, не дає мені адміністраторських привілеїв (підключатися до спільних спільних ресурсів), що робити?

— philcruz

Я не натрапив на налаштування реєстру LocalAccountTokenFilterPolicy. Я буду грати з цим. Тим часом ви можете створити власні акції в корені C:, D: і будь-чого іншого.

— Джон Ренні

1

Server 2008 обробляє речі інакше, ніж раніше. Ви не можете просто додати себе до групи місцевих адміністраторів на сервері-члені. Що я з’ясував, це те, що ви повинні надати групі адміністраторів домену повний контроль над обсягом питань і додати себе до групи адміністраторів домену. Це абсолютно не має нічого спільного з UAC з того, що я пережив. Я повністю вимкнув це під час тестування і все ще відчував цю проблему.

1

Нарешті виправили свою проблему доступу до адміністративної частки. У моєму випадку виявилося зіпсованим зв’язком між доменом і ПК. Щоб виправити це, виконайте наступні прості дії: - залиште домен і приєднайтеся до робочої групи (я використовував TEMP), вам потрібно буде перезапустити - знову приєднайтеся до домену, потрібно перезапустити це все, довіра була відновлена, і я можу зараз отримати доступ до Комп'ютерні адміністратори діляться з будь-якого іншого ПК / сервера домену.

— Маноло
джерело