Espero que alguém possa me ajudar com esse problema de permissões de NTFS. A versão curta é que eu não posso escrever um novo arquivo em F: \ SomeDir, mesmo que pareça ter permissões totais através do grupo "Domain Admins" e de um segundo grupo sem privilégios. A guia "Permissões efetivas" na interface do usuário de permissões do explorador mostra que tenho controle total e não há "Negar" em qualquer lugar da ACL ou qualquer outra coisa que pareça incomum. Estou logado na máquina através do RDP e acessando o disco diretamente como uma unidade local, não através de um compartilhamento.
F:\SomeDir>set U
USERDNSDOMAIN=THEOFFICE.LOCAL
USERDOMAIN=THEOFFICE
USERNAME=thisisme
USERPROFILE=C:\Users\thisisme
F:\SomeDir>icacls .
. BUILTIN\Administrators:(I)(F)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
THEOFFICE\Domain Admins:(I)(OI)(CI)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
BUILTIN\Users:(I)(OI)(CI)(RX)
Successfully processed 1 files; Failed processing 0 files
F:\SomeDir>net group /domain "Domain Admins"
The request will be processed at a domain controller for domain THEOFFICE.local.
Group name Domain Admins
Comment Designated administrators of the domain
Members
-------------------------------------------------------------------------------
Administrator thatguy thisisme
The command completed successfully.
F:\SomeDir>echo "whyUNoCreateFile?" > whyUNoCreateFile.txt
Access is denied.
Eu procurei por respostas e encontrei problemas semelhantes que levam ao UAC (ex. ). Eu não posso desligar o UAC no momento, então eu tento um grupo "regular" do qual também faço parte. Este grupo não tem atribuições de direitos especiais e não faz parte de nenhum grupo administrativo. Ainda não há dados:
[***** This one command executed in an elevated shell *****]
F:\SomeDir>icacls . /grant THEOFFICE\iteveryone:(OI)(CI)F
processed file: .
Successfully processed 1 files; Failed processing 0 files
F:\SomeDir>net group /domain "iteveryone"
The request will be processed at a domain controller for domain THEOFFICE.local.
Group name ITeveryone
Comment
Members
-------------------------------------------------------------------------------
Administrator thatguy thisisme
otherguy someitguy
The command completed successfully.
F:\SomeDir>echo y > u
Access is denied.
Como você pode ver, usar um grupo "regular" não ajudou. Eu fiz o logout e retornei ao servidor para garantir que meu token de login está atualizado e, de qualquer forma, eu pertencia a esses grupos antes de o servidor ser criado.
Se eu conceder permissão explícita a mim mesmo, ele me permite escrever arquivos:
[***** This one command executed in an elevated shell *****]
F:\SomeDir>icacls . /grant THEOFFICE\thisisme:(OI)(CI)F
processed file: .
Successfully processed 1 files; Failed processing 0 files
F:\SomeDir>echo y > u
F:\SomeDir>type u
y
Meu requisito é que o grupo "Administradores de domínio" tenha Controle total ou, se isso não for possível sem desabilitar o UAC, um segundo grupo funcionará, mas não consigo trabalhar.
Estou realmente perplexo. Alguém por favor pode apontar o que eu poderia estar com vista?
Assim, verifica-se que esse problema era exatamente o problema baseado em UAC descrito no outro artigo; o grupo "ITeveryone" não funcionou para mim porque era um grupo "Distribution", não um grupo "Security". Eu tentei a mesma coisa com um grupo de segurança do qual eu também era membro e funcionava como esperado.