Користувач у групі Адміністратори не має тих же прав, що і Адміністратор (Win 2012 R2)

Я створив адміністратора користувача і помістив цього користувача в Групи адміністраторів (місцеві, AD немає). Але цей користувач адміністратора не має тих самих прав, що й сам користувач адміністратора.

Приклад 1: файл належить SYSTEM, а Група адміністраторів має повний контроль. Якщо я спробую додати дозволи до користувача до цього файлу, це не працює для користувача адміністратора. З адміністратором працює без проблем.

Приклад 2: Конфігурація розширеної безпеки IE встановлена ​​для адміністраторів, УВІМКНЕНО для користувачів. Для адміністратора це нормально, для користувача адміністратора він все ще ввімкнений.

Це проблема з конфігурацією? Якщо так, що мені потрібно зробити, щоб зробити це правильно?

Це може бути спричинене контролем облікових записів користувачів , функцією (яку ненавидять багато людей), яка робить так, що навіть якщо у вас є адміністративні права, ви насправді не маєте їх, якщо ви прямо не вимагаєте їх. Існує дві чіткі політики, що регулюють поведінку UAC (обидва знайдені в Computer settings\Windows settings\Security settings\Local policies\Security options), одна для вбудованого Administratorоблікового запису та інша для всіх інших адміністративних користувачів:

• Контроль облікових записів користувачів: Режим затвердження адміністратора для вбудованого облікового запису адміністратора (відключено за замовчуванням)
• Контроль облікових записів користувачів: запустіть усіх адміністраторів у режимі затвердження адміністратора (увімкнено за замовчуванням)

Що це означає: за замовчуванням AdministratorUAC не впливає на вбудований обліковий запис, тоді як усі інші адміністративні користувачі є ; Таким чином, адміністративний користувач (відмінний від вбудованого Administrator) може фактично не мати адміністративних прав, навіть якщо він є членом Administratorsгрупи.

Більше інформації тут .

У мене була подібна ситуація та виправлено її, дотримуючись кроків http://clintboessen.blogspot.com/2013/05/you-dont-currently-have-permission-to.html (які стосуються іншої ситуації). Ось що я мав і що робив:

1. Два комп'ютери, без домену Active Directory, один з Win 8.1 (наприклад, W81), інший із сервером 2012 (наприклад, ім'я w12)
2. Два локальні користувачі на w12: [UserA] з PasswordA і [UserB] з PasswordB. Обидва належать до локальної групи [Адміністратори].
3. Два локальні користувачі на w81: [UserA] та [UserB] з такими ж PasswordA та PasswordB як відповідні користувачі w12. Обидва належать до локальної групи [Адміністратори].
4. Я ділюся папкою на w12: a. Назва акції: Temp1 $ b. Дозволу на обмін: [Усі], Повний контроль c. Дозволи NTFS: [Адміністратори], Повний контроль. Жодна інша група не має тут дозволів NTFS
5. Я увійшов на W12 як [UserA], я намагаюся отримати доступ до спільної частини за допомогою UNC \ w12 \ Temp1 $. Я отримую помилку, кажучи, що у мене немає доступу. Частка знайдена. Просто немає доступу.
6. Я увійшов у W81 як [UserB], я намагаюся отримати доступ до спільної частини за допомогою UNC \ w12 \ Temp1 $. Я отримую ту ж помилку. ВИСТАВКА w12 НЕ ДОПОМОГА.
7. Якщо я додаю [UserA] та [UserB] явно до дозволів NTFS, тепер вони мають доступ до спільної доступу, використовуючи кроки 5 та 6.
8. Я запустив GPEdit.msc на w12, перейшов до:

Конфігурація комп'ютера -> Налаштування Windows -> Налаштування безпеки -> Локальні політики -> Параметри безпеки

і використовував налаштування для рекомендацій №1 та №3:

№1, Контроль облікових записів користувачів: Режим затвердження адміністратора для вбудованого облікового запису адміністратора: вимкнено. №3, Контроль облікових записів користувачів: Запустіть усіх адміністраторів у режимі затвердження адміністратора: вимкнено.

І ліворуч №2 недоторканий: №2, Контроль облікових записів користувачів: Поведінка запиту про підвищення рівня адміністраторів у режимі затвердження адміністратора: Запрошення на згоду на бінарні файли, що не належать до Windows

9. Перезапустив машину, і ситуація не повторилася.