บัญชีของฉันอยู่ในกลุ่มผู้ดูแล แต่ไม่ให้เกียรติสิทธิ์สำหรับกลุ่มผู้ดูแลระบบในการแชร์จากระยะไกล?

4

ฉันอยู่บนเครือข่ายในบ้านและไม่ได้ใช้ตัวควบคุมโดเมน ชื่อผู้ใช้ของฉันอยู่ในกลุ่มผู้ดูแลระบบและฉันเปิดใช้งาน UAC แล้ว ฉันมีการแชร์บนคอมพิวเตอร์เครือข่ายที่มีสิทธิ์บางอย่างสำหรับผู้ใช้กลุ่มผู้ดูแลระบบ (กลุ่มนั้นมีสิทธิ์) อย่างไรก็ตามฉันพบว่าไม่เคารพสิทธิ์เหล่านั้น แต่ต้องเพิ่มชื่อผู้ใช้ของฉันใน ACL นี้อย่างชัดเจนเพื่อให้สามารถเข้าถึงได้

เหตุใดจึงไม่ทำงานเนื่องจากชื่อผู้ใช้ทั้งสองอยู่ภายใต้กลุ่มผู้ดูแลระบบ สิ่งนี้ไม่สำคัญกับกลุ่มเมื่อเข้าถึงการแชร์ระยะไกลหรือตรวจสอบสิทธิ์ในระดับผู้ใช้เท่านั้นหรือไม่ ขอบคุณ

network-shares  file-management  file-permissions  uac  user-profiles 
Ryan Peters
แหล่งที่มา
2
ที่นี่คุณไปเพื่อนของฉัน, think-like-a-computer.com/2011/05/11/…

คำตอบ:

1

สิทธิ์ที่ จำกัด มากที่สุดมีการปฏิบัติตาม ดังนั้นหากมีการปฏิเสธสำหรับบัญชีของคุณ แต่ได้รับอนุญาตสำหรับผู้ดูแลระบบคุณจะถูกปฏิเสธ

soandos
แหล่งที่มา
เกิดอะไรขึ้นถ้ากลุ่ม "ผู้ใช้" อยู่ในรายการเดียวกัน แต่มีสิทธิ์น้อยกว่า มันจะเป็นไปตามการอนุญาตของผู้ใช้ก่อนหรือไม่
Ryan Peters
มันเป็นไปตามข้อ จำกัด มากที่สุด
soandos
ใช่แล้วคุณกำลังบอกว่ามันเห็นผู้ใช้ของฉัน (ระยะไกล) เป็นส่วนหนึ่งของกลุ่มผู้ใช้มากกว่ากลุ่มผู้ดูแลระบบหรือไม่
Ryan Peters
ตรวจสอบกลุ่มที่ผู้ใช้ของคุณเป็นสมาชิก
soandos
1
นี่ไม่เป็นความจริงเลย ผู้ดูแลระบบทั้งหมดเป็นสมาชิกของกลุ่มผู้ใช้อยู่แล้วและถ้าคุณใส่ทุกคน: อ่านในไฟล์จะไม่มีใครสามารถเขียนได้ หากคุณกำลังพูดถึงสิทธิ์ที่ จำกัด มากที่สุดระหว่าง NTFS และแบ่งปันนั่นเป็นเรื่องที่แตกต่าง
NReilingh
2

นี่เป็นปัญหาที่น่ารำคาญที่สุดใน Vista ขึ้นไป Microsoft เพิ่มโหมดการอนุมัติผู้ดูแลระบบ (AAM)

ตัวอย่างจากบทความที่ลิงค์ด้านล่าง :

เมื่อเข้าถึงโฟลเดอร์ใน Windows Explorer จะมีข้อความแจ้งว่า "คุณไม่ได้รับอนุญาตให้เข้าถึงโฟลเดอร์นี้" ตอนนี้ฉันรู้แล้วว่าโฟลเดอร์นี้มีการอนุญาตดังต่อไปนี้:

  • ระบบ - ควบคุมทั้งหมด
  • ผู้ดูแลระบบ - ควบคุมทั้งหมด
  • ผู้ใช้ - สร้างข้อมูลต่อท้ายโฟลเดอร์

บัญชีผู้ใช้ของฉันเป็นสมาชิกของผู้ดูแลระบบ ฉันควรได้รับอนุญาตให้เข้าถึงโฟลเดอร์นี้

AAM จะมอบโทเค็นการเข้าถึง "ผู้ใช้มาตรฐาน" ให้กับสมาชิกกลุ่ม "ผู้ดูแลระบบ" ทุกคนในตอนเริ่มต้นใช้งาน Explorer ดังนั้นเมื่อคุณคลิกที่โฟลเดอร์การควบคุมการเข้าถึงของผู้ใช้ (UAC) จะปรากฏขึ้นเพื่อขออนุญาต สิ่งนี้จะเพิ่มผู้ใช้ของคุณเป็นรายการ ACL (รายการการควบคุมการเข้าถึง) แยกต่างหากและให้สิทธิ์แบบเดียวกับ "ผู้ดูแลระบบ"

สองทางแก้ปัญหานี้:

  1. สร้างกลุ่มใหม่ที่มีสิทธิ์เช่นเดียวกับผู้ดูแลระบบเพิ่มผู้ใช้ของคุณในกลุ่มนี้เพิ่มกลุ่มนี้ไปยังโฟลเดอร์ที่คุณต้องการเข้าถึง คุณจะสามารถเข้าถึงแบบเต็มโดยไม่ต้องพรอมต์หรือเพิ่มรายการ ACL ผู้ใช้แยกต่างหาก
  2. ปิดใช้งาน AAM คลิกที่นี่
Mr_Moneybags
แหล่งที่มา
สำหรับการใช้งานนี้การตั้งค่า LSP เดียวที่คุณควรเปลี่ยน (อย่างน้อยตามการทดสอบของฉันในตอนนี้และการสันนิษฐานว่าพฤติกรรมของพรอมต์การยกระดับสิทธิ์ได้รับอนุญาตเพียงพอซึ่งเป็นค่าเริ่มต้นบนเซิร์ฟเวอร์ 2008 r2) คือ "การควบคุมบัญชีผู้ใช้ : เรียกใช้ผู้ดูแลระบบทั้งหมดในโหมดการอนุมัติผู้ดูแลระบบ "(ต้องรีบูต)
NReilingh
1

คุณต้องการหลายสิ่ง:

  1. เนื่องจากไม่ใช่โดเมนและไม่ใช่ผู้ใช้หนึ่งคนคุณจึงต้องมีผู้ใช้และรหัสผ่านเหมือนกันในคอมพิวเตอร์ทั้งสองเครื่อง สิ่งนี้อนุญาตให้มีการพิสูจน์ตัวตนแบบพาส - ทรู
  2. คุณต้องตั้งค่าการอนุญาตของ Share เพื่อให้สามารถเข้าถึงได้โดยปกติจะเป็นแบบเต็มสำหรับผู้ดูแลระบบและไม่ได้สำหรับกลุ่มของผู้ดูแลระบบ ฉันสงสัยว่านี่เป็นที่ที่คุณล้มเหลวเนื่องจากผู้ดูแลระบบบนคอมพิวเตอร์ 1 ไม่ได้อยู่ในกลุ่มของผู้ดูแลระบบบนคอมพิวเตอร์ 2 เนื่องจากเป็นผู้ใช้ที่แตกต่างกัน
  3. คุณต้องตั้งค่าการอนุญาตด้านความปลอดภัยในไฟล์ อีกครั้งฉันจะตั้งค่าการอนุญาตเหล่านี้สำหรับผู้ใช้ผู้ดูแลระบบแต่ละราย

ตามที่ระบุไว้โดย soandos จะมีการใช้สิทธิ์ที่ จำกัด มากที่สุดดังนั้นหากคุณได้อ่านเฉพาะการอนุญาตให้ใช้ร่วมกันแล้วจะไม่สำคัญหากคุณมีสิทธิ์ควบคุมความปลอดภัยเต็มรูปแบบ

KCotreau
แหล่งที่มา
เพื่อให้แน่ใจว่าฉันเข้าใจสิ่งที่คุณพูด ใช่การตั้งค่าความปลอดภัย (ฉันมีการแชร์การตั้งค่าทั้งหมดตามต้องการ) สำหรับกลุ่มผู้ดูแลระบบจะไม่ทำงาน แต่จะต้องตั้งค่าต่อผู้ใช้แต่ละคน (เช่นกันฉันมีบัญชีผู้ใช้ที่ตรงกันในทั้งสองเครื่อง)
Ryan Peters
ฉันคุ้นเคยกับการทำงานในโดเมน แต่สำหรับฉันแล้วดูเหมือนว่าเนื่องจากวิธีเดียวที่การทำงานนี้คือการพิสูจน์ตัวตนแบบพาส - ทรูหมายความว่าทั้งชื่อผู้ใช้และรหัสผ่านต้องตรงกันคุณจะทำอย่างไรกับกลุ่มเนื่องจากไม่มีรหัสผ่าน .
KCotreau
ให้ฉันเพิ่มว่ามันเป็นไปตามข้อ จำกัด มากที่สุดระหว่างการแบ่งปันและสิทธิ์ด้านความปลอดภัย หากคุณมีผู้ใช้ซึ่งเป็นผู้ดูแลระบบและมีสิทธิ์อย่างเต็มที่ แต่ยังเป็นสมาชิกของกลุ่มผู้ใช้และมีสิทธิ์ จำกัด และเรากำลังพูดถึงสิทธิ์ความปลอดภัยบุคคลนั้นมีสิทธิ์อย่างเต็มที่ หากคุณเพิ่มเฉพาะสิทธิ์การอ่านสำหรับการแชร์แม้แต่ผู้ดูแลระบบก็จะ จำกัด การอ่านสิทธิ์
KCotreau
ข้อยกเว้นคือการปฏิเสธสิทธิ์ ... ที่แทนที่ทั้งหมด
KCotreau
ผู้ใช้ทั้งสองมีชื่อผู้ใช้ / รหัสผ่านเดียวกัน ทั้งสองอยู่ในกลุ่มผู้ดูแลระบบ อย่างไรก็ตามฉันไม่สามารถเข้าถึงด้วยสิทธิ์แบบเต็มสำหรับกลุ่มผู้ดูแลระบบ ดูเหมือนว่าไม่เห็นบัญชีเป็นส่วนหนึ่งของกลุ่มนี้ นี่เป็นเรื่องจริงหรือมีบางสิ่งบางอย่างสับสน
Ryan Peters
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.