Benutzer in der Domänenadministratorgruppe können nicht auf das Verzeichnis zugreifen, auf das die Gruppe zugreifen darf

15

Beim Spielen mit einem meiner Domain Labs ist mir ein ziemlich interessantes Problem begegnet.

Auf einem 2008 R2-Dateiserver befindet sich ein Verzeichnis, das für die Ordnerumleitung für alle Benutzer in der Organisationseinheit "Staff" verwendet wird. Das Verzeichnis verfügt über die folgenden Berechtigungen:

  • FILESERVER \ Administratoren: Ermöglichen Sie die vollständige Kontrolle über das Verzeichnis, die Unterverzeichnisse und die Dateien
  • DOMAIN \ Domain Admins: Ermöglichen Sie die vollständige Kontrolle über das Verzeichnis, die Unterverzeichnisse und die Dateien
  • Authentifizierte Benutzer: Ermöglichen das Erstellen von Dateien, das Erstellen von Ordnern, das Schreiben von Attributen und das Schreiben erweiterter Attribute nur im obersten Verzeichnis

Darüber hinaus ist das Verzeichnis auch eine Netzwerkfreigabe mit der Option "Vollzugriff zulassen" für die Gruppe "Authentifizierte Benutzer".

Wenn der Benutzer john.doe, ein Mitglied der Gruppe der Domänenadministratoren, versucht, vom Dateiserver aus auf das Verzeichnis zuzugreifen, wird die Fehlermeldung "Sie haben derzeit keine Berechtigung, auf diesen Ordner zuzugreifen" angezeigt. Der Versuch, über denselben Server auf die Netzwerkfreigabe zuzugreifen, führt ebenfalls zu einem Fehler, dass die Berechtigung verweigert wurde (obwohl der Benutzer weiterhin auf sein eigenes Verzeichnis in der Freigabe zugreifen kann).

Der Zugriff auf die Freigabe von einem anderen Computer aus, der als derselbe Benutzer angemeldet ist, ermöglicht den konfigurierten Zugriff.

Die einzige Möglichkeit, auf die Dateien im Verzeichnis zuzugreifen, während Sie am Dateiserver angemeldet sind, besteht darin, eine Eingabeaufforderung mit erhöhten Rechten zu öffnen. Die Benutzerkontensteuerung ist für alle Computer in der Domäne über die Gruppenrichtlinie deaktiviert (Alle Administratoren im Administratorgenehmigungsmodus ausführen aktiviert und das Standardverhalten ohne Aufforderung erhöht).

Alle Straßen weisen darauf hin, dass der Benutzer Zutritt hat, dieser wird jedoch weiterhin verweigert. Irgendwelche Ideen?

windows active-directory permissions EnglishInfix
quelle
Gibt es Verweigern von ACEs in der ACL?
Shane Madden
In der ACL für das Verzeichnis sind keine Verweigerungsberechtigungen für Gruppen oder Benutzer festgelegt.
EnglishInfix

Antworten:

13

Dies ist beabsichtigt. Die Benutzerkontensteuerung entfernt den Administrator-Berechtigungsnachweis von allen nicht erhöhten Prozessen. Wenn Sie versuchen, mit einem nicht erhöhten Prozess auf eine Remotefreigabe zuzugreifen, wobei nur Administratoranmeldeinformationen verwendet werden, entfernt die Benutzerkontensteuerung die Administratoranmeldeinformationen aus dem Sicherheitstoken des Prozesses und der Prozess erhält den Fehler "Zugriff verweigert".

Um dies zu beheben, können Sie:

  1. Verwenden Sie keine Administratoranmeldeinformationen, um den Ordner zu sichern (erstellen Sie nur zu diesem Zweck eine generische Gruppe), oder

  2. Deaktivieren Sie die Benutzerkontensteuerung auf dem Dateiserver (nicht empfohlen) oder

  3. Aktivieren Sie den folgenden Registrierungsschlüssel auf dem Dateiserver, um nur diesen Teil der Benutzerkontensteuerung zu deaktivieren.

Weitere Informationen: Beschreibung der Benutzerkontensteuerung und der Remotebeschränkungen in Windows Vista

John Homer
quelle
Mir ist gerade aufgefallen, dass dies vom letzten Mai ist. Ich bin mir nicht sicher, warum es heute Morgen in meinem RSS-Feed erschienen ist ...
John Homer
John, ich ändere gerne meine Antwort und stimme dir zu, aber ich wollte sicher sein. Der KB-Artikel liest "seltsam", unter dem Domain user accountsAbschnitt, als ob es überhaupt keine Bedeutung hätte. Das OP gab an, dass er sich auf dem Dateiserver befindet, der direkt vom Server auf die lokalen Laufwerke und den UNC-Pfad zugreift. Ich habe keine schnelle Möglichkeit, den Registrierungsschlüssel zu testen (könnte ihn aber bei Bedarf testen), sondern nur die Frage, ob Sie sicher sind, dass dies das Problem tatsächlich genau wie im OP beschrieben und nicht nur für den Remote-Zugriff auf UNC-Pfade behebt.
TheCleaner
Ich bin auf dieses Problem schon oft gestoßen. Der lokale Zugriff auf eine Freigabe erfolgt wie bei einer Remote-Freigabe. Es verwendet weiterhin den UNC-Redirector, um auf den Ordner zuzugreifen, und unterliegt demselben Verhalten. Ich vermute, dass der Remotecomputer eine ältere (Nicht-UAC-) Version von Windows war. Leider hat OP diese Informationen nicht zur Verfügung gestellt. Nur aufgrund der Informationen, die er zur Verfügung gestellt hat (insbesondere der Notwendigkeit, die Informationen zu erhöhen, damit sie ordnungsgemäß funktionieren), glaube ich, dass dies das Problem ist.
John Homer
Ja, verstanden, aber er gab an, dass er zuerst das lokale Laufwerk (keine Freigabe) und dann die UNC-Freigabe ausprobiert hat. Aber ich schweife ab ... Ich ändere meinen Beitrag und stimme Ihrem zu ... Ich habe keinen Grund, Ihrer Antwort nicht zu vertrauen.
TheCleaner
Der Registrierungsschlüssel hat auch nach dem Neustart NICHT funktioniert. Das Ausschalten der Benutzerkontensteuerung funktionierte ebenfalls nicht. Nur die Gattungsgruppe hat für mich gearbeitet.
Skinneejoe
10

Die Benutzerkontensteuerung entfernt die Anmeldeinformationen des Domänenadministrators auf dem Server selbst. Dies ist Teil der Funktionsweise der Benutzerkontensteuerung (dummerweise IMO). Eine Möglichkeit besteht darin, die Benutzerkontensteuerung auf dem Server vollständig zu deaktivieren, damit die Eingabeaufforderung "Sie haben derzeit keine Berechtigung, auf diesen Ordner zuzugreifen" nicht angezeigt wird.

BEARBEITEN: Hier ist ein Beispiel-Thread: http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/9061bc1c-42ea-47ed-8c7d-56b07139fb86/

EDIT2: Johns Antwort könnte genau das sein, wonach Sie suchen. Probieren Sie es aus und melden Sie sich, wenn Sie können.

Der Reiniger
quelle
5
Eine andere Möglichkeit wäre, dem Ordner eine ACL für eine andere Gruppe hinzuzufügen, zu der der Benutzer gehört, und die über die entsprechenden Berechtigungen verfügt.
Greg Askew
Sorry TheCleaner, aber Sie sind falsch. Sie müssen die Benutzerkontensteuerung nicht deaktivieren, damit dies funktioniert. Es gibt einen Registrierungsschlüssel (LocalAccountTokenFilterPolicy), der nur diesen Teil der Benutzerkontensteuerung deaktiviert. Weitere Informationen finden Sie hier: support.microsoft.com/kb/951016
John Homer
@ JohnHomer - siehe meinen Kommentar in Ihrer Antwort. Ich ändere meine Antwort als Möglichkeit, weise aber darauf hin und stimme auch Ihrer zu, wenn Sie sicher sind, dass der KB-Artikel auch auf die Probleme mit dem lokalen Server-Laufwerk zutrifft, die im OP beschrieben wurden.
TheCleaner
-1

Am besten ändern Sie den Registrierungsschlüssel unter 

registry::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system; key = EnableLUA
  • Stellen Sie sicher, dass es auf Wert 0 festgelegt ist, um zu deaktivieren
  • Sie müssen neu starten, damit es wirksam wird.
  • Die Benutzeroberfläche zeigt es möglicherweise als deaktiviert an, während die Registrierung aktiviert ist
Ben
quelle
3
Richtlinienschlüssel sollten nicht manuell festgelegt werden. Sie werden von der Gruppenrichtlinienverwaltung zum Speichern von Einstellungen verwendet. Weitere Informationen: technet.microsoft.com/en-us/library/cc962657.aspx
John Homer