背景信息:关键用户的管理员帐户需要不受限制地访问服务器上的文件夹。
-> 他正在按 RDP 或直接使用文件夹(共享)在服务器上工作
所述管理员帐户位于名为 xyz 的域安全组中,我已将组 xyz 添加到服务器上的本地管理员组中。
但是,如果我将 xyz 添加到 NTFS 权限(完全控制)或内部带有 xyz 的本地管理员(完全控制),它的行为似乎有所不同。
他们需要的是单独添加的 xyz 的行为,但是为什么它的行为完全不同呢?
这种行为在 Windows Server 2012R2 上似乎有所不同,据我所知,它没有任何区别。
这是用户帐户控制的预期行为。2012 R2 和 2019 之间没有任何区别。
为了详细说明 Gregs 的回答,UAC 过滤掉了用户的管理员访问令牌。因此,如果您授予管理员组完全访问权限,则属于该组成员的用户将不会拥有该令牌,除非通过同意 UAC 对话框明确添加。如果您授予组xyz完全访问权限,则您的用户帐户确实具有该令牌,因此具有相同的权限。
那么,您需要做什么才能获得令牌?以管理员身份运行 explorer.exe 或 cmd.exe(或您正在使用的任何应用程序)。这将临时将访问令牌添加到进程中。或者停用 UAC,但这并不理想。