NTFS-尽管属于本地管理员组，但域管理员没有权限

根据“最佳做法”，我们IT部门的员工有两个帐户。一个非特权帐户和一个帐户，该帐户是全局Domain Admins（$ DOMAIN \ Domain Admins）组的成员。在我们的文件服务器上，将Domain Admins组添加到本地Administrators（$ SERVER \ Administrators）组。本地管理员组具有对这些目录的完全控制权限。很标准。

但是，如果我使用Domain Admin帐户登录到服务器以进入该目录，则需要批准一个UAC提示，其中说：“您当前无权访问此文件夹。单击继续以永久访问该文件夹。此文件夹。” 单击继续将使我的Domain Admin帐户对该文件夹以及该文件夹下的其他任何对象具有权限，尽管$ SERVER \ Administrators（我是我通过Domain Admins组的成员）已经具有“完全控制”权限。

有人可以解释这种现象吗？有关与Server 2008 R2和UAC的管理权限有关的管理文件共享NTFS权限的适当方法是什么？

正确，当程序请求管理员权限时会触发UAC。例如资源管理器，要求管理员特权，因为这是这些文件和文件夹上的NTFS ACL所需要的。

您知道我有四个选择。

1. 在服务器上禁用UAC。

   • 无论如何，我还是这样做（在一般情况下），并争辩说，如果您需要在服务器上使用UAC，则可能做错了，因为通常，只有管理员才能登录服务器，他们应该知道自己在做什么。在做。
     
     

2. 从提升的界面管理权限

   • 高架cmd窗口，PS窗口或资源管理器实例都可以避免UAC弹出窗口。（Run As Administrator）
     
     

3. 远程管理NTFS权限

   • 从未打开UAC的计算机上通过UNC连接。
     
     

4. 创建一个附加的非管理组，该组在NTFS ACL中具有对要处理的所有文件和文件夹的完全访问权限，并将您的管理员分配给该组。

   • UAC弹出窗口将不会（不应）被触发，因为Explorer不再需要管理特权，因为对文件的访问是通过另一个非管理组授予的。

最好的方法是在以下位置更改注册表项

注册表:: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ policies \ system; 键= EnableLUA

确保将其设置为值0以禁用它。您需要重新启动才能生效。启用注册表后，界面可能显示为已禁用。

为本地Administrator组的成员设置这两个策略，以便能够更改文件并连接到管理共享：

进行这些更改后，将需要重新启动。

您还可以通过GPO或在本地安全策略中为管理员禁用管理员批准模式。

本地安全策略\安全设置\本地策略\安全选项\用户帐户控制：以“管理员批准”模式运行所有管理员-已禁用