.png)
Я создал пользователя admin и поместил его в группы администраторов (локальные, AD нет). Но у этого пользователя admin нет тех же прав, что и у самого пользователя Administrator.
Пример 1: файл принадлежит SYSTEM, а группа администраторов имеет полный контроль. Если я пытаюсь добавить разрешения для пользователя к этому файлу, это не работает для пользователя admin. С Administrator все работает без проблем.
Пример 2: Конфигурация усиленной безопасности IE установлена в положение ВЫКЛ для администраторов, ВКЛ для пользователей. Для администратора это нормально, для пользователя admin она все еще включена.
Это проблема конфигурации? Если да, то что мне нужно сделать, чтобы исправить это?
решение1
Это может быть вызваноКонтроль учетных записей пользователей, функция (ненавистная многим), которая делает так, что даже если у вас есть административные права, вы на самом деле их не имеете, если вы явно не запросите их. Существуют две отдельные политики, регулирующие поведение UAC (обе находятся в Computer settings\Windows settings\Security settings\Local policies\Security options), одна для встроенной Administratorучетной записи, а другая для всех остальных административных пользователей:
- Контроль учетных записей пользователей: режим одобрения администратором для встроенной учетной записи администратора(по умолчанию отключено)
- Контроль учетных записей пользователей: запуск всех администраторов в режиме одобрения администратором(включено по умолчанию)
Это означает следующее: по умолчанию встроенная Administratorучетная запись не подвержена влиянию UAC, в то время как все остальные административные пользователиявляются; таким образом, административный пользователь (отличный от встроенного Administrator) может фактически не иметь административных прав, даже если он является членом группы Administrators.
Больше информацииздесь.
решение2
У меня была похожая ситуация, и я исправил ее, следуя инструкциямhttp://clintboessen.blogspot.com/2013/05/you-dont-currently-have-permission-to.html(которые предназначены для другой ситуации). Вот что у меня было и что я сделал:
- Два компьютера, без домена Active Directory, один с Win 8.1 (например, имя W81), другой с Server 2012 (например, имя w12)
- Два локальных пользователя на w12: [UserA] с паролем A и [UserB] с паролем B. Оба принадлежат к локальной группе [Administrators].
- Два локальных пользователя на w81: [UserA] и [UserB] с теми же PasswordA и PasswordB, что и у соответствующих пользователей w12. Оба принадлежат к локальной группе [Administrators].
- Я предоставляю общий доступ к папке на w12: a. Имя общего ресурса: Temp1$ b. Разрешения общего ресурса: [Все], Полный доступ c. Разрешения NTFS: [Администраторы], Полный доступ. Ни у одной другой группы нет здесь разрешений NTFS
- Зашел на W12 как [UserA], пытаюсь получить доступ к общему ресурсу с помощью UNC \w12\Temp1$ . Получаю ошибку, что у меня нет доступа. Общий ресурс найден. Просто нет доступа.
- Зашел на W81 как [UserB], пытаюсь получить доступ к общему ресурсу с помощью UNC \w12\Temp1$. Получаю ту же ошибку. ПЕРЕЗАПУСК w12 НЕ ПОМОГАЕТ.
- Если я явно добавлю [UserA] и [UserB] к разрешениям NTFS, то теперь у них будет доступ к общему ресурсу с помощью шагов 5 и 6.
- Я запустил GPEdit.msc на w12, перешел в:
Конфигурация компьютера --> Параметры Windows --> Параметры безопасности --> Локальные политики --> Параметры безопасности
и использовал настройки для рекомендаций №1 и №3:
#1. Контроль учетных записей пользователей: Режим одобрения администратором для встроенной учетной записи администратора: Отключено. #3. Контроль учетных записей пользователей: Запуск всех администраторов в режиме одобрения администратором: Отключено.
И оставил #2 нетронутым: #2, Контроль учетных записей пользователей: Поведение запроса на повышение прав для администраторов в режиме одобрения администратором: Запрос согласия для двоичных файлов, отличных от Windows
- Перезагрузил машину, и ситуация больше не повторялась.