我的运行 Windows Server 2008 的文件服务器有两个逻辑驱动器;C: 盘包含所有系统和应用程序数据,D: 盘包含所有业务数据。D: 驱动器的顶层有几个共享工作正常。然而...
通过远程桌面交互登录到文件服务器时,只有域管理员和本地管理员帐户可以浏览 D: 驱动器。我设置了一个名为“维护”的帐户并将其添加到本地管理员组,但是当使用此用户登录时,我无法浏览 D: 驱动器。D: 驱动器具有以下权限 ACL:
Full Access - SYSTEM
Full Access - MACHINE\Administrators
它甚至不允许我查看 E: 驱动器的 ACL。所以我尝试获取 E: 驱动器的所有权,然后我可以读取 ACL,并且“有效权限”表示我具有完全访问权限。但我仍然收到此错误消息。
Location is not available
D:\ is not accessible.
Access is denied.
对我来说听起来像 UAC 并且访问驱动器需要提升 - 如果您以管理员身份运行 cmd shell(同时以维护帐户运行)会发生什么?你能看到驱动器的内容吗?默认情况下,在 2008 下需要时,本地管理员和域管理员会自动提升,我认为不仅仅是管理员帐户的成员。
编辑添加:
您可以通过组策略修改此行为,但请记住,默认设置是故意设置的 - 您要更改的特定策略是“用户帐户控制:在管理员批准模式下运行所有管理员” - 您可以找到有关如何在这篇 MSDN 文章中执行此操作。
http://technet.microsoft.com/en-us/library/cc731677(WS.10).aspx
对令牌的更改 当作为 Windows® XP 或 Windows Server 2003 中管理员组成员的用户登录到计算机时,该用户的令牌包含管理员组 SID,并且该用户具有与管理员组相同的权限。在 Windows Server 2008 和 Windows Vista 中,如果启用了 UAC,管理员 SID 仍然存在于令牌中,但设置为仅拒绝。执行访问控制时,令牌中的此类条目仅用于拒绝访问,即匹配拒绝 ACE。该 SID 的任何允许 ACE 都将被忽略。这意味着您并非一直都是真正的管理员,即使您以管理员身份登录计算机也是如此。