Пользователь в группе администраторов не обладает такими же правами, как администратор (Win 2012 R2)

10

Я создал пользователя admin и поместил этого пользователя в группы администраторов (локальные, там нет AD). Но этот пользователь с правами администратора не обладает теми же правами, что и сам пользователь с правами администратора.

Пример 1: файл принадлежит SYSTEM, а группа администраторов имеет полный контроль. Если я попытаюсь добавить разрешения для пользователя в этот файл, он не будет работать для пользователя с правами администратора. С Администратором работает без проблем.

Пример 2. Конфигурация усиленной безопасности IE отключена для администраторов, включена для пользователей. Для администратора это нормально, для пользователя с правами администратора все еще включено.

Это проблема конфигурации? Если это так, что мне нужно сделать, чтобы сделать это правильно?

permissions windows-server-2012-r2 users Маартен
источник
1
Это не должно вести себя так. Убедитесь, что эта локальная учетная запись действительно находится в локальной группе администраторов. Когда вы вошли в систему с этим пользователем, вы можете запустить, WHOAMI /GROUPS /FO LISTчтобы убедиться, что они действительно являются частью правильных групп.
TheCleaner
5
Вы вышли из системы и снова вошли с новым пользователем, сделав его членом группы администраторов? Его токен доступа не изменится в течение всего времени текущего сеанса на этой машине
Матиас Р. Йессен,
@TheCleaner: это группы, в которые он входит: все, NT AUTHORITY \ Local account и член группы администраторов, BULTIN \ Administrators, BUILTIN \ Users, NT AUTHORITY \ REMOTE INTERACTIVE LOGON, NT AUTHORITY \ INTERACTIVE, NT AUTHORITY \ Authenticated Users , NT AUTHORITY \ Эта организация, NT AUTHORITY \ Локальная учетная запись, LOCAL, NT AUTHORITY \ NTLM Authentication, Обязательная метка \ Средний обязательный уровень
Maarten
Я не думаю, что это проблема с UAC. Если вы отключите UAC (контроль учетных записей) на сервере, он будет работать тогда? social.technet.microsoft.com/wiki/contents/articles/…
TheCleaner
Проблема с правами (пример 1) кажется исправной после отключения UAC. IE ESC все еще является проблемой.
Мартен

Ответы:

17

Это может быть вызвано контролем учетных записей пользователей , функцией (ненавидимой многими), которая делает так, что даже если у вас есть административные права, у вас их фактически нет, если вы явно не запросите их. Существуют две разные политики, управляющие поведением UAC (обе находятся в Computer settings\Windows settings\Security settings\Local policies\Security options), одна для встроенной Administratorучетной записи, а другая для всех остальных пользователей-администраторов:

  • Контроль учетных записей: режим одобрения администратором для встроенной учетной записи администратора (по умолчанию отключен)
  • Контроль учетных записей пользователей: запускать всех администраторов в режиме одобрения администратором (по умолчанию включено)

Что это означает: по умолчанию, встроенный в Administratorсчетах не зависят от контроля учетных записей, в то время как все другие административных пользователями являются ; таким образом, пользователь-администратор (в отличие от встроенного Administrator) может фактически не иметь прав администратора, даже если он является членом Administratorsгруппы.

Больше информации здесь .

Massimo
источник
Отключение 2-го параметра устранило проблему для меня в Windows 10. Можете ли вы объяснить, почему этот параметр существует? Какой смысл иметь группу администраторов, если члены этой группы по умолчанию не имеют доступа ни к одному из разрешений этой группы?
Мордред
1
Суть в том (предположительно), что UAC не дает пользователям с правами администратора случайно выстрелить себе в ноги, потому что им приходится явно запрашивать у системы предоставление им привилегий, которые они должны иметь (используя «запуск от имени администратора» при запуске программы).
Массимо
1
Однако реализация настолько ненадежна (например, вы не можете использовать «запуск от имени администратора» в проводнике Windows, потому что он всегда работает, и вы не можете запустить другой его экземпляр с повышенными правами), что большинство опытных пользователей просто заканчивают тем, что вообще отключают UAC , чтобы иметь возможность реально использовать свой компьютер.
Массимо
2
UAC существует со времен Windows Vista, но еще хуже в Windows 8 и более поздних версиях (включая 10), потому что отключение UAC фактически полностью останавливает запуск приложений Metro / Modern: по какой-то непонятной причине им, похоже, действительно нужен UAC для запуска, и они даже не запускаются, если UAC отключен.
Массимо
1

У меня была похожая ситуация, и я исправил ее, следуя инструкциям http://clintboessen.blogspot.com/2013/05/you-dont-currently-have-permission-to.html (которые предназначены для другой ситуации). Вот что у меня было и что я сделал:

  1. Два компьютера, без домена Active Directory, один с Win 8.1 (например, с именем W81), другой с Server 2012 (например, с именем w12)
  2. Два локальных пользователя на w12: [UserA] с паролем A и [UserB] с паролем B. Оба принадлежат к локальной группе [Администраторы].
  3. Два локальных пользователя на w81: [UserA] и [UserB] с теми же PasswordA и PasswordB, что и соответствующие пользователи w12. Оба принадлежат к локальной группе [Администраторы].
  4. Я делю папку на w12: a. Поделиться именем: Temp1 $ b. Разрешения для общего доступа: [Все], Полный доступ c. Разрешения NTFS: [Администраторы], Полный доступ. Ни одна другая группа не имеет разрешения NTFS здесь
  5. Зайдя на W12 как [UserA], я пытаюсь получить доступ к общему ресурсу с помощью UNC \ w12 \ Temp1 $. Я получаю сообщение о том, что у меня нет доступа. Доля найдена. Просто нет доступа.
  6. Зайдя на W81 как [UserB], я пытаюсь получить доступ к общему ресурсу с помощью UNC \ w12 \ Temp1 $. Я получаю ту же ошибку. ВОССТАНОВЛЕНИЕ w12 НЕ ПОМОГАЕТ.
  7. Если я добавлю [UserA] и [UserB] явно к разрешениям NTFS, они теперь получат доступ к общему ресурсу, используя шаги 5 и 6.
  8. Я запустил GPEdit.msc на w12, пошел к:

Конфигурация компьютера -> Настройки Windows -> Настройки безопасности -> Локальные политики -> Параметры безопасности

и использовал настройки для рекомендаций № 1 и № 3:

# 1, Контроль учетных записей: режим одобрения администратором для встроенной учетной записи администратора: отключено. № 3, Контроль учетных записей пользователей: запускать всех администраторов в режиме одобрения администратором: отключено.

И оставил # 2 нетронутым: # 2, Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором: запрос согласия для двоичных файлов, отличных от Windows

  1. Перезапустил машину, и ситуация больше не повторилась.
Jelgab
источник
1
Разрешение на доступ к общему ресурсу (разрешение «Общий доступ») отличается от разрешения на доступ к файлу (разрешение NTFS). Они есть и должны быть отдельными.
artifex