O usuário no grupo admin do domínio não pode acessar o diretório que o grupo tem permissão para acessar

15

Encontrei um problema bastante interessante ao jogar com um dos laboratórios do meu domínio.

Há um diretório em um servidor de arquivos 2008 R2 que está sendo usado para redirecionamento de pastas para todos os usuários na UO "Equipe". O diretório tem as seguintes permissões definidas:

  • FILESERVER \ Administradores: permite controle total ao diretório, subdiretórios e arquivos
  • DOMAIN \ Admins do domínio: permite o controle total do diretório, subdiretórios e arquivos
  • Usuários autenticados: permite criar arquivos, criar pastas, escrever atributos e gravar atributos estendidos somente no diretório principal

Além disso, o diretório também é um compartilhamento de rede com "Permitir controle total" para o grupo Usuários autenticados.

Quando o usuário john.doe, um membro do grupo de administradores de domínio, tenta acessar o diretório do servidor de arquivos, ele recebe o erro "Você não tem permissão para acessar esta pasta". Tentar acessar o compartilhamento de rede do mesmo servidor também resulta em um erro de permissão negada (embora o usuário ainda possa acessar seu próprio diretório dentro do compartilhamento).

Acessando o compartilhamento de outro computador conectado como o mesmo usuário permite acesso conforme configurado.

A única maneira de acessar os arquivos no diretório enquanto estiver conectado ao servidor de arquivos é abrindo um prompt de comando elevado. O UAC está desabilitado para todos os computadores no domínio por meio da Diretiva de Grupo (Executar todos os administradores no modo Aprovação de Administrador habilitado e o comportamento padrão definido para elevar sem solicitar).

Todas as estradas apontam para o usuário ter acesso permitido, mas ainda está sendo negado. Alguma idéia?

    
por EnglishInfix 04.05.2012 / 00:10

3 respostas

12

Isso é por design. O UAC retira a credencial de administrador de qualquer processo não elevado. Se você estiver tentando usar um processo não elevado para acessar um compartilhamento remoto usando apenas credenciais de administrador, o UAC removerá as credenciais de administrador do token de segurança do processo, e o processo receberá um erro de "acesso negado".

Para remediar isso, você pode:

  1. Não use credenciais de administrador para proteger a pasta (crie um grupo genérico apenas para essa finalidade) ou

  2. Desative o UAC no servidor de arquivos (não recomendado) ou

  3. Ative a seguinte chave do Registro no servidor de arquivos para desabilitar apenas essa parte do UAC.

Mais informações: Descrição do controle de conta de usuário e restrições remotas no Windows Vista

    
por 10.02.2014 / 13:50
10

O UAC está retirando as credenciais de Admin. de Domínio no próprio servidor, é parte de como o UAC (estupidamente IMO) funciona. Uma opção é desabilitar completamente o UAC no servidor para não receber o aviso "Você não tem permissão para acessar esta pasta".

EDIT: aqui está um exemplo de discussão btw: link

EDIT2: A resposta de João abaixo pode ser exatamente o que você está procurando. Experimente e informe se puder.

    
por 04.05.2012 / 01:42
-1

A melhor maneira é alterar a chave do registro em

registry::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system; key = EnableLUA
  • Verifique se está definido como Valor 0 para desativar
  • Você precisa reinicializar para que isso tenha efeito.
  • A interface pode mostrá-lo como desativado enquanto o registro está ativado
por 21.02.2013 / 09:39