É possível desativar o "Modo de Aprovação de Administrador" para uma única conta em um servidor?

Navegue suas respostas
3

Um console-aplicativo é executado em um único servidor em um domínio e tem a tarefa de excluir algumas áreas iniciais de usuários que não estão mais ativos. Esses homeareas estão localizados em mais de 50 servidores diferentes espalhados pela rede.

A conta é executada no contexto de uma conta, que também é membro do grupo Administrador local em cada servidor de armazenamento, que tem acesso "Controle total" às pastas relevantes.

Isso funciona muito bem em vários servidores mais antigos, mas no Windows 2008 ele apresenta problemas. Nestes servidores, o "Modo de aprovação de administrador" está ativado para o grupo "Administrador local".

Por exemplo, se eu clicar com o botão direito do mouse em uma pasta e tentar acessar propriedades / segurança (usando a mesma conta de serviço), recebo este aviso:

Eu posso pressionar continuar e, em seguida, continuar a usar as permissões de controle total. Se eu fizer o mesmo ao excluir arquivos, as coisas funcionam como pretendido.

É possível desabilitar isso por usuário / por servidor, então ele continuaria sendo aplicado a todas as outras contas - mas não à conta de serviço em questão aqui?

Perdoe-me se eu estragar um pouco da terminologia aqui. Eu sou apenas um desenvolvedor. :)

Editar: deixou claro que eu estava falando sobre um aplicativo de console em um único servidor, acessando homeareas em muitos servidores diferentes na rede.

    
por Kjensen 27.07.2012 / 09:46

2 respostas

3

Esse recurso é chamado de UAC (Controle de Conta de Usuário). Ele só pode ser desativado por servidor não por usuário, para isso, vá para o menu Iniciar, digite "msconfig" e abra a única entrada na lista. Nesta nova janela, escolha a guia "Ferramentas" e selecione "Alterar as configurações do UAC" e, em seguida, puxe a escala deslizante para desativada.

    
por 27.07.2012 / 09:52
4

Tenho certeza que no Windows 8 em diante você não pode desabilitar o U.A.C. (sem hacks de registro, mas o Windows Apps não funciona). Uma maneira melhor é desabilitar o Modo de Aprovação do Administrador (A.A.M.):

Ao acessar uma pasta no Windows Explorer, ela avisa dizendo "Você não tem permissão para acessar esta pasta". Agora eu sei que esta pasta tem as seguintes permissões definidas:

  • SYSTEM - Controle total
  • Administradores - Controle total
  • Usuários - Criar pasta anexar dados

Minha conta de usuário é um membro dos administradores. Eu deveria ter permissão para acessar esta pasta.

Bem, A.A.M. dará a todos os membros do grupo "Administradores" um token de acesso "Usuário padrão" na inicialização do Explorer. Então, quando você clica na pasta, um Controle de Acesso do Usuário (U.A.C.) irá aparecer pedindo permissão. Isso adicionará seu usuário como um A.C.L separado. (Lista de controle de acesso) e dar-lhe as mesmas permissões como "Administradores".

Duas soluções para isso:

  1. Crie um novo grupo com as mesmas permissões que um administrador, adicione seu usuário a esse grupo e adicione esse grupo à pasta que você deseja acessar. Você terá acesso total sem um prompt ou um usuário separado A.C.L. entrada sendo adicionada.

  2. Desativar A.A.M. Clique aqui

    • Essencialmente, + R GPEDIT.msc
    • Configuração do computador - > Configurações do Windows - > Configurações de segurança - > Políticas locais - > Opções de segurança
      • Controle de conta de usuário: modo de aprovação de administrador para a conta de administrador interna
      • Controle de conta de usuário: comportamento do prompt de elevação para administradores no modo de aprovação de administrador
      • Controle de conta de usuário: execute todos os administradores no modo de aprovação de administrador
    • Defina as configurações de políticas da seguinte forma na seguinte ordem:
      • desativado
      • Elevar sem solicitar
      • desativado
por 11.11.2013 / 11:58

Tags

Consistência de dados com o RAID 5 e o BBWC Redefinindo a senha root no Fedora Core 3 - somente acesso via cabo serial