ผู้ใช้ในกลุ่มผู้ดูแลไม่ได้รับสิทธิ์เหมือนกับผู้ดูแลระบบ (Win 2012 R2)

10

ฉันได้สร้างผู้ดูแลระบบของผู้ใช้และทำให้ผู้ใช้รายนี้อยู่ในกลุ่มผู้ดูแลระบบ (ภายในเครื่องไม่มีโฆษณา) แต่ผู้ใช้ที่เป็นผู้ดูแลระบบนี้ไม่ได้มีสิทธิ์เหมือนกับผู้ใช้ผู้ดูแลระบบเอง

ตัวอย่างที่ 1: ไฟล์เป็นของ SYSTEM และกลุ่มผู้ดูแลระบบมีการควบคุมเต็มรูปแบบ หากฉันพยายามที่จะเพิ่มการอนุญาตสำหรับผู้ใช้ไฟล์นี้มันไม่ได้ผลสำหรับผู้ใช้ที่เป็นผู้ดูแลระบบ ด้วยผู้ดูแลระบบจะทำงานโดยไม่มีปัญหาใด ๆ

ตัวอย่างที่ 2: การกำหนดค่าความปลอดภัยขั้นสูงของ IE ถูกตั้งค่าเป็นปิดสำหรับผู้ดูแลระบบเปิดสำหรับผู้ใช้ สำหรับผู้ดูแลระบบนี่ก็ใช้ได้สำหรับผู้ดูแลระบบที่ยังคงเปิดอยู่

นี่เป็นปัญหาการกำหนดค่าหรือไม่ ถ้าเป็นเช่นนั้นฉันต้องทำอย่างไรเพื่อให้ถูกต้อง

permissions  windows-server-2012-r2  users 
มาร์ติน
แหล่งที่มา
1
สิ่งนี้ไม่ควรทำแบบนี้ โปรดตรวจสอบให้แน่ใจว่าบัญชีท้องถิ่นนี้จริงๆอยู่ในกลุ่มผู้ดูแลระบบท้องถิ่น ในขณะที่ลงชื่อเข้าใช้ด้วยผู้ใช้นั้นคุณสามารถเรียกใช้WHOAMI /GROUPS /FO LISTเพื่อยืนยันว่าพวกเขาเป็นส่วนหนึ่งของกลุ่มที่ถูกต้อง
TheCleaner
5
คุณได้ออกจากระบบและกลับเข้าสู่ระบบด้วยผู้ใช้ใหม่หลังจากทำให้เขาเป็นสมาชิกของกลุ่มผู้ดูแลระบบหรือไม่? โทเค็นการเข้าถึงของเขาจะไม่เปลี่ยนแปลงตลอดอายุการใช้งานของเซสชันปัจจุบันบนเครื่องนั้น
Mathias R. Jessen
@TheCleaner: เหล่านี้คือกลุ่มที่เขาเป็นสมาชิกของ: ทุกคน, บัญชี AUTHORITY \ Local, NT และสมาชิกของกลุ่มผู้ดูแลระบบ, BULTIN \ Administrators, BUILTIN \ Users, AUTHORITY \ INTERACTIVE NT, AUTHORITY \ INTERACTIVE, NT AUTHORITY \ INTERACTIVE , NT AUTHORITY \ องค์กรนี้, NT AUTHORITY \ บัญชีท้องถิ่น, Local, NT AUTHORITY \ NTLM รับรองความถูกต้อง, ป้ายกำกับข้อบังคับ \ ระดับการควบคุมปานกลาง
Maarten
หากไม่ได้อยู่ในโดเมนฉันสงสัยว่าเป็นปัญหาของ UAC หรือไม่ หากคุณปิดใช้งาน UAC (การควบคุมบัญชีผู้ใช้) บนเซิร์ฟเวอร์จะทำงานได้หรือไม่ social.technet.microsoft.com/wiki/contents/articles/…
TheCleaner
ปัญหาสิทธิ์ (ตัวอย่างที่ 1) ดูเหมือนว่าจะตกลงหลังจากปิดใช้งาน UAC IE ESC ยังคงเป็นปัญหาอยู่
Maarten

คำตอบ:

18

สิ่งนี้อาจเกิดจากการควบคุมบัญชีผู้ใช้ซึ่งเป็นคุณสมบัติ (ที่หลายคนเกลียด) ซึ่งทำให้เป็นเช่นนั้นแม้ว่าคุณจะมีสิทธิ์ระดับผู้ดูแลระบบก็ตาม มีนโยบายที่แตกต่างกันสองประการที่ควบคุมพฤติกรรมของ UAC (ทั้งที่พบในComputer settings\Windows settings\Security settings\Local policies\Security options) นโยบายหนึ่งสำหรับAdministratorบัญชีในตัวและอีกนโยบายหนึ่งสำหรับผู้ใช้ที่ดูแลระบบอื่นทั้งหมด:

  • การควบคุมบัญชีผู้ใช้: โหมดการอนุมัติผู้ดูแลระบบสำหรับบัญชีผู้ดูแลระบบภายใน (ปิดใช้งานตามค่าเริ่มต้น)
  • การควบคุมบัญชีผู้ใช้: เรียกใช้ผู้ดูแลระบบทั้งหมดในโหมดการอนุมัติผู้ดูแลระบบ (เปิดใช้งานโดยค่าเริ่มต้น)

สิ่งนี้หมายความว่าอะไร: ตามค่าเริ่มต้นAdministratorบัญชีภายในจะไม่ได้รับผลกระทบจาก UAC ในขณะที่ผู้ใช้งานดูแลระบบรายอื่น ๆ ทั้งหมดคือ ; ดังนั้นจึงเป็นไปได้สำหรับผู้ใช้ที่เป็นผู้ดูแลระบบ (แตกต่างจากในตัวAdministrator) เพื่อไม่มีสิทธิ์ระดับผู้ดูแลแม้ว่าจะเป็นสมาชิกของAdministratorsกลุ่มก็ตาม

ข้อมูลเพิ่มเติมที่นี่

มัสซิโม
แหล่งที่มา
การปิดใช้งานการตั้งค่าที่ 2 แก้ไขปัญหาให้ฉันใน Windows 10 คุณช่วยอธิบายได้ไหมว่าทำไมการตั้งค่านี้ถึงมีอยู่? การมีกลุ่มผู้ดูแลระบบคืออะไรหากสมาชิกของกลุ่มนั้นไม่สามารถเข้าถึงการอนุญาตใด ๆ ของกลุ่มดังกล่าวโดยค่าเริ่มต้น
Mordred
1
ประเด็นคือ (ควร) ว่า UAC หยุดผู้ใช้ด้วยสิทธิ์ของผู้ดูแลระบบโดยไม่ตั้งใจยิงตัวเองเพราะพวกเขาต้องขอระบบอย่างชัดเจนเพื่อให้พวกเขาได้รับสิทธิพิเศษที่พวกเขาควรจะมี (ใช้ "เรียกใช้ในฐานะผู้ดูแลระบบ" เมื่อเปิดตัวโปรแกรม)
Massimo
1
อย่างไรก็ตามการนำไปใช้นั้นไม่แน่นอน (fe คุณไม่สามารถใช้ "เรียกใช้ในฐานะผู้ดูแลระบบ" บน Windows Explorer ได้เนื่องจากมันทำงานอยู่ตลอดเวลาและคุณไม่สามารถเปิดใช้อินสแตนซ์อื่นด้วยสิทธิ์ที่ยกระดับ) ที่ผู้ใช้ระดับสูงส่วนใหญ่ เพื่อให้สามารถใช้งานคอมพิวเตอร์ได้จริง
Massimo
2
UAC ได้รับรอบตั้งแต่ Windows Vista แต่มันก็ยิ่งเลวร้ายลงใน Windows 8 และต่อมา (รวม 10) เพราะการปิดใช้งาน UAC ได้อย่างมีประสิทธิภาพหยุดเมโทร / ปพลิเคชันที่ทันสมัยจากการทำงานที่ทั้งหมด: เหตุผลที่ไม่สามารถบางพวกเขาดูเหมือนจะจริงต้อง UAC ในการทำงาน และพวกเขาจะไม่เริ่มทำงานหากปิดใช้งาน UAC
Massimo
1

ฉันมีสถานการณ์ที่คล้ายกันและแก้ไขตามขั้นตอนของhttp://clintboessen.blogspot.com/2013/05/you-dont-currently-have-permission-to.html (ซึ่งเป็นสถานการณ์ที่แตกต่างกัน) นี่คือสิ่งที่ฉันมีและสิ่งที่ฉันทำ:

  1. คอมพิวเตอร์สองเครื่องไม่มีโดเมน Active Directory หนึ่งเครื่องที่มี Win 8.1 (เช่นชื่อ W81) และอื่น ๆ พร้อม Server 2012 (เช่นชื่อ w12)
  2. ผู้ใช้ภายในสองคนใน w12: [UserA] พร้อม PasswordA และ [UserB] พร้อม PasswordB ทั้งคู่อยู่ในกลุ่มท้องถิ่น [ผู้ดูแลระบบ]
  3. ผู้ใช้ภายในสองคนบน w81: [UserA] และ [UserB] ที่มี PasswordA และ PasswordB เดียวกันกับผู้ใช้ w12 ที่สอดคล้องกัน ทั้งคู่อยู่ในกลุ่มท้องถิ่น [ผู้ดูแลระบบ]
  4. ฉันแชร์โฟลเดอร์ใน w12: ชื่อที่ใช้ร่วมกัน: Temp1 $ b แบ่งปันการอนุญาต: [ทุกคน], การควบคุมแบบเต็ม สิทธิ์ NTFS: [ผู้ดูแลระบบ], การควบคุมแบบเต็ม ไม่มีกลุ่มอื่นที่มีสิทธิ์ NTFS ที่นี่
  5. เข้าสู่ระบบใน W12 เป็น [UserA] ฉันลองเข้าถึงการแชร์โดยใช้ UNC \ w12 \ Temp1 $ ฉันพบข้อผิดพลาดว่าฉันไม่สามารถเข้าถึงได้ พบการแบ่งปัน ไม่สามารถเข้าถึงได้
  6. เข้าสู่ระบบใน W81 เป็น [UserB] ฉันลองเข้าถึงการแชร์โดยใช้ UNC \ w12 \ Temp1 $ ฉันได้รับข้อผิดพลาดเดียวกัน การเรียกคืน w12 ไม่ช่วยอะไร
  7. ถ้าฉันเพิ่ม [UserA] และ [UserB] ลงในสิทธิ์ NTFS อย่างชัดเจนตอนนี้พวกเขาสามารถเข้าถึงการแชร์ได้โดยใช้ขั้นตอนที่ 5 และ 6
  8. ฉันใช้ GPEdit.msc เมื่อ w12 ไปที่:

การกำหนดค่าคอมพิวเตอร์ -> การตั้งค่า Windows -> การตั้งค่าความปลอดภัย -> นโยบายท้องถิ่น -> ตัวเลือกความปลอดภัย

และใช้การตั้งค่าสำหรับคำแนะนำ # 1 และ # 3:

# 1 การควบคุมบัญชีผู้ใช้: โหมดการอนุมัติผู้ดูแลระบบสำหรับบัญชีผู้ดูแลระบบภายใน: ปิดใช้งาน # 3 การควบคุมบัญชีผู้ใช้: เรียกใช้ผู้ดูแลระบบทั้งหมดในโหมดการอนุมัติผู้ดูแลระบบ: ปิดการใช้งาน

และเหลือ # 2 มิได้ถูกแตะต้อง: # 2, การควบคุมบัญชีผู้ใช้: พฤติกรรมของพรอมต์การยกระดับสิทธิ์สำหรับผู้ดูแลระบบในโหมดการอนุมัติของผู้ดูแลระบบ: แจ้งให้ขอความยินยอมสำหรับไบนารีที่ไม่ใช่ของ Windows

  1. รีสตาร์ทเครื่องและสถานการณ์จะไม่เกิดขึ้นอีก
Jelgab
แหล่งที่มา
1
การอนุญาตให้เข้าถึงการแชร์ (การอนุญาตให้ใช้สิทธิ) นั้นไม่เหมือนกับการอนุญาตให้เข้าถึงไฟล์ (การอนุญาต NTFS) พวกเขาและควรแยกจากกัน
artifex
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.