Alan adı yöneticisi grubundaki kullanıcı, grubun erişim iznine sahip olduğu dizine erişemiyor

15

Etki alanı laboratuvarlarımdan biriyle oynarken oldukça ilginç bir sorunla karşılaştım.

2008 R2 dosya sunucusunda "Personel" kuruluş birimindeki tüm kullanıcılar için klasör yeniden yönlendirme amacıyla kullanılan bir dizin vardır. Dizinde aşağıdaki izinler ayarlanmıştır:

  • FILESERVER \ Administrators: Dizin, alt dizinler ve dosyalar üzerinde tam denetime izin ver
  • DOMAIN \ Domain Admins: Dizin, alt dizinler ve dosyalar üzerinde tam denetime izin ver
  • Kimliği Doğrulanmış Kullanıcılar: Yalnızca üst dizine dosya oluşturmaya, klasör oluşturmaya, öznitelikler yazmaya ve genişletilmiş öznitelikler yazmaya izin ver

Buna ek olarak, dizin, Authenticated Users grubuna "Tam denetime izin ver" ibareli bir ağ paylaşımıdır.

Etki alanı yöneticileri grubunun bir üyesi olan john.doe kullanıcısı dizine dosya sunucusundan erişmeye çalıştığında, "Şu anda bu klasöre erişim izniniz yok" hatasını alır. Aynı sunucudan ağ paylaşımına erişmeye çalışmak da izin reddedildi hatasıyla sonuçlanır (ancak kullanıcı yine de paylaşım içindeki kendi dizinine erişebilir).

Aynı kullanıcı ile oturum açmış başka bir bilgisayardan paylaşıma erişmek, yapılandırıldığı gibi erişime izin verir.

Dosya sunucusunda oturum açmışken dizindeki dosyalara erişmenin tek yolu yükseltilmiş bir komut istemi açmaktır. Grup İlkesi aracılığıyla etki alanındaki tüm bilgisayarlar için UAC devre dışı bırakılır (Tüm yöneticileri Yönetici Onayı modunda etkinleştirilir ve varsayılan davranış sorulmadan yükseltilecek şekilde ayarlanmıştır).

Tüm yollar kullanıcının erişimine izin verildiğini gösterir, ancak yine de reddedilmektedir. Herhangi bir fikir?

windows  active-directory  permissions 
EnglishInfix
kaynak
ACL'de Reddet ACE var mı?
Shane Madden
Herhangi bir grup veya kullanıcının dizininin ACL'sinde ayarlanmış bir reddetme izni yoktur.
12'de

Yanıtlar:

13

Bu tasarım gereğidir. UAC, yönetici kimlik bilgilerini yükseltilmemiş herhangi bir işlemden çıkarır. Yalnızca yönetici kimlik bilgilerini kullanarak uzak bir paylaşıma erişmek için yükseltilmemiş bir işlem kullanmaya çalışıyorsanız, UAC yönetici kimlik bilgilerini işlemin güvenlik belirtecinden çıkarır ve işlem bir "erişim reddedildi" hatası alır.

Bunu düzeltmek için şunları yapabilirsiniz:

  1. Klasörü güven altına almak için yönetici kimlik bilgilerini kullanmayın (yalnızca bu amaçla genel bir grup oluşturun) veya

  2. Dosya sunucusunda UAC'yi devre dışı bırak (önerilmez) veya

  3. UAC'nin yalnızca bu bölümünü devre dışı bırakmak için dosya sunucusunda aşağıdaki kayıt defteri anahtarını etkinleştirin.

Daha fazla bilgi: Windows Vista'daki Kullanıcı Hesabı Denetimi ve uzaktan kısıtlamaların açıklaması

John Homer
kaynak
Bu yüzden geçen Mayıs ayında olduğunu fark ettim. Neden bu sabah RSS beslememde göründüğünden emin değilim ...
John Homer
John, cevabımı değiştirmekten ve seni oy etmekten mutluluk duyuyorum, ama emin olmak istedim. KB makalesi, Domain user accountsbölümün altında "hiç tuhaf" gibi görünmüyor. OP, yerel sürücülere ve UNC yoluna doğrudan sunucudan erişen dosya sunucusunda olduğunu belirtti. Ben hızlı bir yol yok (ama gerekirse) regkey test ama sadece bu gerçekten sorunu tam olarak açıklanmayacak OP tam olarak ve sadece uzaktan UNC yol erişimi için gidermek emin olup olmadığını soran?
TheCleaner
Bu sorunla birçok kez karşılaştım. Bir paylaşıma yerel olarak erişmek, uzak paylaşımla aynı işlemdir. Yine de klasöre erişmek için UNC yeniden yönlendiricisini kullanır ve aynı davranışa tabidir. Uzak makinenin Windows'un eski (UAC olmayan) bir sürümü olduğunu tahmin ediyorum. Ne yazık ki, OP bu bilgiyi vermedi. Sadece sağladığı bilgiye dayanarak (özellikle doğru çalışması için yükseltmek gerekir) bu sorunun olduğuna inanmamı sağlıyor.
John Homer
Evet, anlaşıldı, ancak önce yerel diski (paysız) ve ardından UNC payını denediğini söyledi. Ama konuya giriyorum ... Yazımı değiştireceğim ve seninkini oylayacağım ... Cevabına güvenmemek için hiçbir nedenim yok.
TheCleaner
Kayıt defteri anahtarı yeniden başlattıktan sonra bile benim için çalışmadı. UAC'yi kapatmak da işe yaramadı. Sadece jenerik grup benim için çalıştı.
skinneejoe
10

UAC, sunucunun kendisinde Etki Alanı Yöneticisi kimlik bilgilerini çıkarır, UAC'nin (aptalca IMO) nasıl çalıştığının bir parçasıdır. Bir seçenek, "Şu anda bu klasöre erişim izniniz yok" istemini almamak için sunucudaki UAC'yi tamamen devre dışı bırakmaktır.

DÜZENLEME: işte örnek bir konu btw: http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/9061bc1c-42ea-47ed-8c7d-56b07139fb86/

EDIT2: John'un aşağıdaki cevabı tam olarak aradığınız şey olabilir. Deneyin ve mümkünse rapor edin.

Temizleyici
kaynak
5
Başka bir seçenek, kullanıcının üyesi olduğu başka bir grubun klasörüne uygun izinlere sahip bir ACL eklemek olacaktır.
Greg Askew
Üzgünüm TheCleaner, ancak yanılıyorsunuz. Bunu yapmak için UAC'yi devre dışı bırakmanız gerekmez. UAC'nin yalnızca bu bölümünü devre dışı bırakan bir kayıt defteri anahtarı (LocalAccountTokenFilterPolicy) vardır. Daha fazla bilgi için burada: support.microsoft.com/kb/951016
John Homer
@ JohnHomer - cevabınızdaki yorumuma bakın. Cevabımı bir olasılık olarak değiştireceğim, ancak KB makalesinin yerel sunucu sürücüsü sorunları ve OP'nin açıkladığı sorunlar için geçerli olduğundan eminseniz de işaret edin ve sizinkini de kaldırın.
TheCleaner
-1

En iyi yolu, kayıt defteri anahtarını 

registry::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system; key = EnableLUA
  • Devre dışı bırakmak için 0 değerine ayarlandığından emin olun
  • Etkili olması için yeniden başlatmanız gerekiyor.
  • Kayıt defteri etkinleştirildiğinde arabirim devre dışı olarak gösterilebilir
Ben
kaynak
3
İlke anahtarlarının manuel olarak ayarlanması gerekmez. Grup ilkesi yönetimi tarafından ayarları depolamak için kullanılırlar. Daha fazla bilgi: technet.microsoft.com/en-us/library/cc962657.aspx
John Homer
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.