Пользователь в группе администраторов домена не может получить доступ к каталогу, к которому у группы есть права доступа

Я столкнулся с довольно интересной проблемой, играя с одной из моих предметных лабораторий.

В файловом сервере 2008 R2 есть каталог, который используется для перенаправления папок для всех пользователей в подразделении «Персонал». В каталоге установлены следующие разрешения:

• FILESERVER \ Administrators: разрешить полный контроль над каталогом, подкаталогами и файлами
• ДОМЕН \ Администраторы домена: полный доступ к каталогу, подкаталогам и файлам
• Прошедшие проверку пользователи: позволяют создавать файлы, создавать папки, записывать атрибуты и записывать расширенные атрибуты только в верхний каталог

Кроме того, каталог также является сетевым ресурсом с «Разрешить полный контроль» для группы «Прошедшие проверку».

Когда пользователь john.doe, член группы администраторов домена, пытается получить доступ к каталогу с файлового сервера, он получает сообщение об ошибке «У вас нет прав доступа к этой папке». Попытка получить доступ к сетевому ресурсу с того же сервера также приводит к ошибке отказа в доступе (хотя пользователь все еще может получить доступ к своему собственному каталогу в общем ресурсе).

Доступ к общему ресурсу с другого компьютера, вошедшего в систему под тем же пользователем, разрешает доступ в соответствии с настройками.

Единственный способ получить доступ к файлам в каталоге при входе в систему на файловом сервере - открыть командную строку с повышенными привилегиями. Контроль учетных записей отключен для всех компьютеров в домене с помощью групповой политики (запуск всех администраторов в режиме одобрения администратором включен, а поведение по умолчанию установлено на повышение без запроса).

Все дороги указывают на то, что пользователю разрешен доступ, но ему все еще отказано. Есть идеи?

Это по замыслу. UAC удаляет учетные данные администратора из любого необновленного процесса. Если вы пытаетесь использовать процесс без повышенных прав для доступа к удаленному общему ресурсу, используя только учетные данные администратора, UAC удалит учетные данные администратора из маркера безопасности процесса, и процесс получит ошибку «Отказано в доступе».

Чтобы исправить это, вы можете:

1. Не используйте учетные данные администратора для защиты папки (создайте общую группу только для этой цели), или

2. Отключите UAC на файловом сервере (не рекомендуется) или

3. Включите следующий раздел реестра на файловом сервере, чтобы отключить только эту часть UAC.

Подробнее: Описание контроля учетных записей и удаленных ограничений в Windows Vista

UAC удаляет учетные данные администратора домена на самом сервере, это часть работы UAC (тупо IMO). Один из вариантов - полностью отключить UAC на сервере, чтобы не получать приглашение «У вас нет прав доступа к этой папке».

РЕДАКТИРОВАТЬ: вот пример потока: http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/9061bc1c-42ea-47ed-8c7d-56b07139fb86/

РЕДАКТИРОВАТЬ 2: Ответ Джона ниже может быть именно то, что вы ищете, хотя. Попробуйте и сообщите, если сможете.

Лучший способ - изменить ключ реестра в

registry::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system; key = EnableLUA

• Убедитесь, что установлено значение 0 для отключения
• Вам нужно перезагрузить компьютер, чтобы он вступил в силу.
• Интерфейс может отображать его как отключенный при включенном реестре