我正在尝试Administrator在 ACL 包含Administrators(组)时使用用户访问共享。
共享的权限是Administrator: Full Control。(这是 Windows 2016)
共享内对象的安全设置继承了包含Administrators具有完全控制权的组以及 Users仅具有读取和执行权限的组的 ACL。
我在从 CIFS 挂载中写入/删除这些对象时遇到问题。
共享从 Linux 挂载,没有其他选项,除了指定要连接的管理员用户,导致:
(rw,relatime,vers=1.0,sec=ntlmssp,cache=strict,username=Administrator,domain=SERVER,uid=0,noforceuid,gid=0,noforcegid,addr=1.2.3.6,file_mode=0755,dir_mode=0755,nounix,mapposix,rsize=61440,wsize=65536,actimeo=1)
预期结果:由于Administrator属于 group Administrators,我应该拥有使用 CIFS 挂载点的完全访问权限。
实际结果:我只能读,不能写,不能删除。
由于某种原因,我看起来像 CIFS 上的“管理员”被映射到Users组,而不是Administrators:仅保留Administrators在 ACL 中并删除不再Users提供任何访问权限。Administrator在 Windows ACL 中显式指定/添加(用户)可提供 R/W 访问权限。
这不仅是 Linux 挂载的远程效果,而且还发生在 Windows 机器上(“您需要执行此操作的权限”、“您需要管理员的权限才能更改此文件”)。
在本地,您会发现这与 UAC 有关。问题还在于组策略“用户帐户控制:对内置管理员帐户使用管理员批准模式”,该策略在相关机器上启用但默认禁用(如果文档正确)。
在所描述的场景中,有效地禁用它可以访问没有 UAC 的用户“管理员”。
剩下的问题是为什么为“管理员”添加一个特定的 ACE 会有很大的不同,并且在任何情况下都不会触发 UAC。