域管理员组中的用户无法访问该组有权访问的目录

与我的一个域实验室一起玩时，我遇到了一个相当有趣的问题。

2008 R2文件服务器上有一个目录，用于“ Staff” OU中的所有用户的文件夹重定向。该目录设置了以下权限：

• FILESERVER \ Administrators：允许完全控制目录，子目录和文件
• DOMAIN \ Domain Admins：允许完全控制目录，子目录和文件
• 经过身份验证的用户：仅允许创建文件，创建文件夹，写入属性以及将扩展属性写入顶层目录

此外，该目录也是具有“允许完全控制”到Authenticated Users组的网络共享。

当域admins组的成员用户john.doe尝试从文件服务器访问目录时，他收到错误消息“您当前无权访问此文件夹”。尝试从同一服务器访问网络共享也会导致权限被拒绝错误（尽管用户仍然可以访问共享中自己的目录）。

从以同一用户身份登录的另一台计算机访问共享将允许按配置进行访问。

登录文件服务器时，访问目录中文件的唯一方法是打开提升的命令提示符。通过组策略为域中的所有计算机禁用了UAC（启用了以“管理员批准”模式运行所有管理员，并且默认行为设置为“提升”而不提示）。

所有道路都指向允许用户访问的路径，但仍被拒绝。有任何想法吗？

这是设计使然。UAC将从任何未提升的过程中删除管理员凭据。如果您尝试使用未提升权限的进程仅使用管理员凭据访问远程共享，则UAC将从进程的安全令牌中删除管理员凭据，并且该进程将收到“拒绝访问”错误。

要解决此问题，您可以：

1. 不要使用管理员凭据来保护文件夹（为此目的创建通用组），或者

2. 在文件服务器上禁用UAC（不推荐），或者

3. 在文件服务器上启用以下注册表项，以仅禁用UAC的这一部分。

详细信息： Windows Vista中的用户帐户控制和远程限制说明

UAC剥夺了服务器本身上的Domain Admin凭据，这是UAC（愚蠢的IMO）工作方式的一部分。一种选择是完全禁用服务器上的UAC，以不收到“您当前无权访问此文件夹”提示。

编辑：这是示例线程顺便说一句：http : //social.technet.microsoft.com/Forums/zh-CN/winservergen/thread/9061bc1c-42ea-47ed-8c7d-56b07139fb86/

EDIT2：约翰下面的答案可能正是您想要的。尝试一下并报告，如果可以的话。

最好的方法是在以下位置更改注册表项

registry::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system; key = EnableLUA

• 确保将其设置为值0以禁用
• 您需要重新启动才能生效。
• 启用注册表后，界面可能显示为已禁用