Problemas de permissões do servidor 2008

Navegue suas respostas
4

Temos uma seleção de pastas de nível superior: 

E:\Data1
E:\Data2
E:\Data3

As permissões são simples - o padrão CREATOR OWNER , SYSTEM Full Control , alguns grupos de segurança que permitem Modificar e o LOCAL SERVER\Administrator group Full Control . Não há DENY, somente permissões ALLOW.

Eu tenho uma conta de usuário que é membro do grupo Administrador local mencionado acima. No entanto, quando eu acessar a pasta, o prompt do UAC aparece e diz que precisa adicionar permissões antes que eu possa acessar a pasta. Uma entrada explícita é adicionada para esta conta de usuário e agora posso acessar a pasta.

Mas por quê? Eu sou um membro de um grupo que tem controle total, por que está solicitando? A pasta está configurada para não herdar permissões da pasta principal, portanto, não há permissões estranhas herdadas da pasta principal.

    
por PnP 19.06.2014 / 23:11

3 respostas

5
O

UAC tem como objetivo melhorar a segurança do Microsoft Windows, limitando o software do aplicativo aos privilégios de usuário padrão . *

Isso significa , mesmo que a conta de usuário esteja no grupo de administradores, o explorer.exe é executado apenas com privilégios de usuário padrão. E como usuário padrão, você não tem permissão para acessar essas pastas.

Mas, quando você tenta acessar essas pastas, o Windows reconhece que sua conta de usuário é um membro do grupo de administradores. Ele lhe pergunta (através do prompt do UAC) se você gostaria de usar os poderes do sysadmin (por meio da associação do grupo admin) para adicionar sua conta de usuário ao ACL.

Desta forma, o explorer.exe nunca ganha privilégios de usuário padrão, o que melhora a segurança do Microsoft Windows.

* link

    
por 19.06.2014 / 23:29
1

Isso ocorre porque, com o UAC ativado por padrão, você acessa as pastas em um contexto que não tem direitos de administrador, apesar de você ser um membro do grupo de administradores. Uma alternativa seria executar o explorador como administrador.

Isso é um pouco explicado aqui: link

"Quando você loga como um administrador normalmente você teria acesso irrestrito total a tudo. O UAC visa prevenir isto executando todas as tarefas que não requerem acesso de administrador de maneira mais restritiva. Quando o UAC está habilitado um administrador como dois tokens de acesso, um token de usuário padrão (restrito) e um token de administrador (irrestrito). Todas as tarefas são executadas primeiro sob o token de usuário restrito. Somente quando um programa ou tarefas específicas exigir direitos administrativos completos ele solicita que você o execute em um modo elevado. Em seguida, inicia essa tarefa usando o token de administrador. "

    
por 19.06.2014 / 23:26
0

O que eu faço é criar um grupo de nível não administrador chamado algo como "administradores de servidor de arquivos". Então eu dou a este grupo acesso total ao local da pasta. Em seguida, adiciono os usuários apropriados que precisam desse acesso a esse grupo. Como esse grupo faz parte do token não elevado do usuário, o acesso é concedido dessa forma.

O link de Mark em "Como impedimos o acesso negado na pasta?" no primeiro parágrafo explica isso - apenas ignore a sugestão nesse link para desabilitar o UAC: D

    
por 20.06.2014 / 06:25

Tags

nginx como balanceador de carga: ele pode retornar ao cliente para qual servidor de aplicativos a solicitação foi enviada? Regras para a cadeia do nome do usuário do Active Directory