De repente, os usuários perdem permissões de gravação para a unidade raiz c dentro de um domínio de diretório ativo

Navegue suas respostas
5

Estou gerenciando um ambiente de domínio único de diretório ativo em algumas máquinas do Windows Server 2008, Windows Server 2008 R2 e Windows Server 2012.

Desde algumas semanas, tenho um problema estranho. Alguns usuários (não todos!) Relatam que não podem mais salvar, copiar ou gravar arquivos na unidade raiz c, seja em seus clientes (vista, win 7), nem na conexão de área de trabalho remota em uma máquina Windows Server 2008. Mesmo a execução de programas que exigem permissões de gravação direta para a unidade raiz sem permissões de administrador não o fazem desde então.

Os usuários afetados têm permissões de administrador local.

A pergunta que estou enfrentando agora é: O que causou essa mudança de comportamento do sistema? Por quê isso aconteceu? Eu não descobri ainda.

Qual foi a última coisa que fiz antes de acontecer?

  • A última ação que foi feita antes de acontecer foi o lançamento de um GPO contendo mapeamentos de unidade de rede para os usuários dependendo sua participação no grupo de segurança. Todas as unidades de rede estão localizadas em um servidor linux com o samba ativado.

  • Não alteramos as configurações do UAC e elas sempre foram ativadas.

  • No entanto, não posso imaginar que o lançamento desse GPO tenha causado o problema. Alguém já enfrentou um problema como esse?

Apenas no caso:

  • Sei que é por um motivo específico que um usuário sem privilégios administrativos são impedidos de gravar no disco raiz desde o windows vista e a implementação do UAC. Eu não acho que esses usuários devem ser capazes de escrever para dirigir c, mas eu tento entender por que isso está acontecendo e há algumas semanas isso ainda estava funcionando.

  • Também sei que um usuário que é membro dos administradores locais grupo não executa nada com permissões de administrador por padrão, a menos que ele ou ela execute um programa com essas permissões.

O que eu fiz ainda?

  • Eu verifiquei as permissões dos programas afetados, os afetados clientes / servidor. Não encontrou algo especial.

  • Eu verifiquei TODOS os nossos GPOs se houver restrições que possam impedir que os usuários afetados gravem na unidade raiz. Nao fiz encontre quaisquer configurações.

  • Eu verifiquei as configurações do UAC dos usuários afetados e comparei os para outros usuários que ainda podem gravar na unidade raiz. Tudo semelhante.

  • Eu pesquisei na internet e tentei encontrar alguém que tivesse um problema semelhante. Não encontrou um.

Alguém tem uma ideia? Muito obrigado.

Editar:

O GPO que foi implementado faz o seguinte (Por favor, desculpe se as configurações não são nomeadas exatamente assim, eu traduzi as configurações para o inglês): 


**Windows Settings --> Network Drive Mappings --> Drive N: --> General:**
Action: Replace

**Properties:**
Letter: N
Location: \path-to-drive\drivename
Re-Establish connection: deactivated
Label as: Name_of_the_Share
Use first available Option: deactivated

**Windows Settings --> Network Drive Mappings --> Drive N: --> Public:
Options:**
On error don't process any further elements for this extension: no
Run as the logged in user: no
remove element if it is not applied anymore: no
Only apply once: no

**Securitygroup:**
Attribute --> Value
bool --> AND
not --> 0
name --> domain\groupname
sid --> sid-of-the-group
userContext --> 1
primaryGroup --> 0
localGroup --> 0

**Securitygroup:**
Attribute --> Value
bool --> OR
not --> 0
name --> domain\another-groupname
sid --> sid-of-the-group
userContext --> 1
primaryGroup --> 0
localGroup --> 0

Editar: A mensagem de erro de um usuário afetado diz o seguinte: 


Due to an unexpected error you can't copy the file.
Error-Code 0x80070522: The client is missing a required permission.

O comando icacls C: mostra o seguinte: 


NT-AUTORITY\SYSTEM:(OI)(CI)(F)
PRE-DEFINED\Administrators:(OI)(CI)(F)
computername\username:(OI)(CI)(F)

Uma faculdade acabou de me dizer que também o controlador de domínio primário (PDC) mudou do Windows Server 2008 para o Windows Server 2012. Isso também pode ser um motivo. Alguma sugestão?

    
por Kevin 07.11.2013 / 15:27

1 resposta

1

Eu não tenho permissão para comentar ainda e esta não é uma solução como essa, mas observei o mesmo tipo de comportamento no Windows 7 e 8, além do Server 2012 e do Server 2012 R2. Além disso, isso acontece a partir da conta do Administrador, mesmo depois de alterar a propriedade e as permissões completas do diretório raiz das unidades para a conta do Administrador. Além disso, essa experiência foi observada na conta local com máquinas em um grupo de trabalho, portanto, a rede e o estar em um domínio não fazem parte do problema.

Por exemplo, o Administrador não tem permissão para copiar um arquivo da unidade D: para o E: \ root, mas pode copiar para E: \ temp e então mover o arquivo para E: \ . Copiar não é permitido, mas mover-se na mesma unidade é.

Se você realmente tem usuários com permissão para fazer essas funções:

Some users (not all!) report that they cannot any longer save, copy or write files to the root drive c

Eu sugiro estudar de perto o que é único sobre suas contas em comparação com os outros. Quanto ao motivo pelo qual o comportamento mudou, apenas presumi que era algo aplicado com a atualização da Microsoft. (Tipo de resposta: -)

    
por 21.07.2014 / 00:57

Tags

Os dados de utilização de CPU do Cluster vCenter são imprecisos Restringir o acesso ao Gateway RD baseado em IP