ผู้ใช้ในกลุ่มผู้ดูแลโดเมนไม่สามารถเข้าถึงไดเรกทอรีที่กลุ่มมีสิทธิ์ในการเข้าถึง

15

ฉันพบปัญหาที่ค่อนข้างน่าสนใจเมื่อเล่นกับหนึ่งในแล็บของโดเมนของฉัน

มีไดเรกทอรีในไฟล์เซิร์ฟเวอร์ 2008 R2 ที่ใช้สำหรับการเปลี่ยนเส้นทางโฟลเดอร์สำหรับผู้ใช้ทั้งหมดใน OU "Staff" ไดเรกทอรีมีการตั้งค่าการอนุญาตดังต่อไปนี้:

  • FILESERVER \ Administrators: อนุญาตการควบคุมเต็มรูปแบบไปยังไดเรกทอรีไดเรกทอรีย่อยและไฟล์
  • DOMAIN \ Domain Admins: อนุญาตให้ควบคุมไดเรกทอรีไดเรกทอรีย่อยและไฟล์ทั้งหมด
  • ผู้ใช้ที่ได้รับการรับรองความถูกต้อง: อนุญาตให้สร้างไฟล์สร้างโฟลเดอร์เขียนคุณสมบัติและเขียนคุณสมบัติเพิ่มเติมลงในไดเรกทอรีบนสุดเท่านั้น

นอกจากนี้ไดเรกทอรียังเป็นเครือข่ายที่ใช้ร่วมกันด้วย "อนุญาตการควบคุมเต็มรูปแบบ" ให้กับกลุ่มผู้ใช้ที่ได้รับการรับรองความถูกต้อง

เมื่อผู้ใช้ john.doe สมาชิกของกลุ่มผู้ดูแลระบบโดเมนพยายามเข้าถึงไดเรกทอรีจาก fileserver เขาได้รับข้อผิดพลาด "คุณไม่ได้รับอนุญาตให้เข้าถึงโฟลเดอร์นี้" การพยายามเข้าถึงเครือข่ายที่ใช้ร่วมกันจากเซิร์ฟเวอร์เดียวกันยังส่งผลให้เกิดข้อผิดพลาดในการปฏิเสธสิทธิ์ (แม้ว่าผู้ใช้ยังสามารถเข้าถึงไดเรกทอรีของตัวเองได้ภายในการแชร์)

การเข้าถึงการแชร์จากคอมพิวเตอร์เครื่องอื่นที่เข้าสู่ระบบในฐานะผู้ใช้เดียวกันอนุญาตให้เข้าถึงได้ตามที่กำหนดไว้

วิธีเดียวที่คุณสามารถเข้าถึงไฟล์ในไดเรกทอรีในขณะที่เข้าสู่ระบบไฟล์เซิร์ฟเวอร์คือการเปิดพร้อมท์คำสั่ง UAC ถูกปิดใช้งานสำหรับคอมพิวเตอร์ทุกเครื่องในโดเมนผ่านนโยบายกลุ่ม (เปิดใช้งานผู้ดูแลระบบทั้งหมดในโหมดการอนุมัติผู้ดูแลระบบและเปิดใช้งานพฤติกรรมเริ่มต้นเพื่อยกระดับโดยไม่ต้องแจ้งให้ทราบ)

ถนนทุกสายชี้ไปที่ผู้ใช้ที่ได้รับอนุญาตให้เข้าถึง แต่ยังคงถูกปฏิเสธ ความคิดใด ๆ

windows  active-directory  permissions 
EnglishInfix
แหล่งที่มา
มี ACE ที่ปฏิเสธใน ACL หรือไม่
เชนหัวเสีย
ไม่มีสิทธิ์ปฏิเสธที่ตั้งค่าไว้ใน ACL สำหรับไดเรกทอรีสำหรับกลุ่มหรือผู้ใช้ใด ๆ
EnglishInfix

คำตอบ:

13

นี่คือโดยการออกแบบ UAC ดึงข้อมูลประจำตัวของผู้ดูแลระบบจากกระบวนการที่ไม่ผ่านการยกระดับ หากคุณกำลังพยายามใช้กระบวนการที่ไม่ผ่านการยกระดับเพื่อเข้าถึงการแชร์ระยะไกลโดยใช้ข้อมูลประจำตัวของผู้ดูแลระบบเท่านั้น UAC จะดึงข้อมูลประจำตัวของผู้ดูแลระบบจากโทเค็นความปลอดภัยของกระบวนการและกระบวนการจะได้รับข้อผิดพลาด

เพื่อแก้ไขปัญหานี้คุณสามารถ:

  1. อย่าใช้ข้อมูลประจำตัวของผู้ดูแลระบบเพื่อรักษาความปลอดภัยโฟลเดอร์ (สร้างกลุ่มทั่วไปเพียงเพื่อจุดประสงค์นี้) หรือ

  2. ปิดใช้งาน UAC ใน fileserver (ไม่แนะนำ) หรือ

  3. เปิดใช้งานคีย์รีจิสทรีต่อไปนี้บน fileserver เพื่อปิดใช้งานส่วนนี้ของ UAC

ข้อมูลเพิ่มเติม: คำอธิบายการควบคุมบัญชีผู้ใช้และข้อ จำกัด ระยะไกลใน Windows Vista

จอห์นโฮเมอร์
แหล่งที่มา
ดังนั้นฉันเพิ่งสังเกตเห็นว่านี่คือจากเมื่อเดือนพฤษภาคม ไม่แน่ใจว่าทำไมมันปรากฏในฟีด RSS ของฉันเช้านี้ ...
จอห์นโฮเมอร์
จอห์นฉันมีความสุขที่จะแก้ไขคำตอบของฉันและ upvote คุณ แต่ฉันต้องการที่จะแน่ใจ บทความ KB อ่านว่า "แปลก" ภายใต้Domain user accountsส่วนราวกับว่ามันจะไม่มีผลกระทบใด ๆ เลย OP ระบุว่าเขาอยู่บนเซิร์ฟเวอร์ไฟล์ที่เข้าถึงไดรฟ์ในระบบและเส้นทาง UNC จากเซิร์ฟเวอร์โดยตรง ฉันไม่มีวิธีที่รวดเร็ว (แต่ถ้าจำเป็น) ทดสอบ regkey แต่ถามว่าคุณแน่ใจหรือไม่ว่านี่จะแก้ไขปัญหาได้อย่างแน่นอนตามที่ OP อธิบายไว้และไม่ใช่แค่สำหรับการเข้าถึงพา ธ UNC ระยะไกล?
TheCleaner
ฉันพบปัญหานี้หลายครั้งแล้ว การเข้าถึงการแชร์ในเครื่องเป็นกระบวนการเดียวกับการแชร์จากระยะไกล มันยังคงใช้ตัวเปลี่ยนเส้นทาง UNC เพื่อเข้าถึงโฟลเดอร์และอาจมีลักษณะการทำงานเดียวกัน ฉันเดาว่าเครื่องระยะไกลเป็นรุ่นเก่ากว่า (ไม่ใช่ UAC) ของ Windows น่าเสียดายที่ OP ไม่ได้ให้ข้อมูลนั้น เพียงแค่ตามข้อมูลที่เขาให้ (โดยเฉพาะอย่างยิ่งความจำเป็นในการยกระดับให้ทำงานอย่างถูกต้อง) ทำให้ฉันเชื่อว่านี่เป็นปัญหา
John Homer
ใช่เข้าใจ แต่เขาบอกว่าเขาลองขับในพื้นที่ (ไม่มีส่วนแบ่ง) ก่อนแล้วจึงแชร์ UNC แต่ฉันพูดนอกเรื่อง ... ฉันจะแก้ไขโพสต์ของฉันและ upvote ของคุณ ... ฉันไม่มีเหตุผลที่จะไม่เชื่อคำตอบของคุณ
TheCleaner
คีย์รีจิสทรีไม่ทำงานสำหรับฉันแม้หลังจากรีบูต การปิด UAC ก็ไม่ได้ผล มีเพียงกลุ่มทั่วไปเท่านั้นที่ทำงานให้ฉัน
skinneejoe
10

UAC กำลังดึงข้อมูลประจำตัว Domain Admin บนเซิร์ฟเวอร์ของตัวเองซึ่งเป็นส่วนหนึ่งของการทำงานของ UAC (IMO ที่โง่เขลา) ทางเลือกหนึ่งคือปิดใช้งาน UAC บนเซิร์ฟเวอร์โดยสมบูรณ์เพื่อไม่รับพรอมต์ "คุณไม่ได้รับอนุญาตให้เข้าถึงโฟลเดอร์นี้"

แก้ไข: นี่คือตัวอย่างของเธรด btw: http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/9061bc1c-42ea-47ed-8c7d-56b07139fb86/

แก้ไข 2: คำตอบของจอห์นด้านล่างอาจเป็นสิ่งที่คุณกำลังมองหา ลองใช้และรายงานกลับมาถ้าคุณทำได้

TheCleaner
แหล่งที่มา
5
ตัวเลือกอื่นจะเพิ่ม ACL ไปยังโฟลเดอร์สำหรับกลุ่มอื่นที่ผู้ใช้เป็นสมาชิกด้วยสิทธิ์ที่เหมาะสม
Greg Askew
ขออภัย TheCleaner แต่คุณไม่ถูกต้อง คุณไม่ต้องปิดการใช้งาน UAC เพื่อใช้งาน มีคีย์รีจิสทรี (LocalAccountTokenFilterPolicy) ซึ่งจะปิดใช้งานส่วนนี้ของ UAC เท่านั้น ข้อมูลเพิ่มเติมที่นี่: support.microsoft.com/kb/951016
John Homer
@JohnHomer - ดูความคิดเห็นของฉันในคำตอบของคุณ ฉันจะเปลี่ยนคำตอบของฉันเป็นไปได้ แต่ชี้ให้เห็นและยกระดับของคุณเช่นกันถ้าคุณมั่นใจว่าบทความ KB ใช้กับปัญหาไดรฟ์เซิร์ฟเวอร์ภายในเช่นเดียวกับที่ OP อธิบาย
TheCleaner
-1

วิธีที่ดีที่สุดคือเปลี่ยนคีย์รีจิสทรีที่ 

registry::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system; key = EnableLUA
  • ตรวจสอบให้แน่ใจว่าได้ตั้งค่าเป็น 0 เพื่อปิดใช้งาน
  • คุณต้องรีบูตเพื่อให้มีผล
  • อินเทอร์เฟซอาจแสดงว่าถูกปิดใช้งานในขณะที่เปิดใช้งานรีจิสทรี
เบน
แหล่งที่มา
3
ไม่ควรตั้งค่านโยบายคีย์ด้วยตนเอง การจัดการนโยบายกลุ่มใช้เพื่อจัดเก็บการตั้งค่า ข้อมูลเพิ่มเติม: technet.microsoft.com/en-us/library/cc962657.aspx
John Homer
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.