L'utilisateur dans le groupe d'administration du domaine ne peut pas accéder au répertoire auquel le groupe a l'autorisation d'accéder

J'ai rencontré un problème assez intéressant lorsque je jouais avec un de mes laboratoires de domaine.

Il existe un répertoire sur un serveur de fichiers R2 2008 qui est utilisé pour la redirection de dossier pour tous les utilisateurs dans l'unité d'organisation "Personnel". Le répertoire a les paramètres d'autorisations suivants:

  • FILESERVER \ Administrateurs: permet de contrôler complètement le répertoire, les sous-répertoires et les fichiers
  • DOMAIN \ Admins du domaine: Autoriser le contrôle total du répertoire, des sous-répertoires et des fichiers
  • Utilisateurs authentifiés: permet de créer des fichiers, de créer des dossiers, d'écrire des attributs et d'écrire des attributs étendus uniquement dans le répertoire principal

En outre, le répertoire est également un partage réseau avec "Autoriser le contrôle total" du groupe Utilisé authentique.

Lorsque l'utilisateur john.doe, membre du groupe d'administrateurs du domaine, essaie d'accéder au répertoire depuis le serveur de fichiers, il obtient l'erreur "Vous n'avez actuellement pas d'autorisation d'accéder à ce dossier". Le fait d'essayer d'accéder au partage du réseau à partir du même serveur entraîne également une erreur d'autorisation refusée (bien que l'utilisateur puisse toujours accéder à son propre répertoire dans le partage).

L'accès au partage à partir d'un autre ordinateur a été connecté car le même utilisateur permet l'accès tel que configuré.

La seule façon d'accéder aux fichiers dans le répertoire lorsque vous vous connectez au serveur de fichiers est en ouvrant une invite de commande élevée. UAC est désactivé pour tous les ordinateurs du domaine via la stratégie de groupe (Exécuter tous les administrateurs en mode d'approbation d'administration activé et le comportement par défaut configuré pour élever sans préavis).

Toutes les routes indiquent que l'utilisateur est autorisé à accéder, mais il est néanmoins refusé. Des idées?

3 Solutions collect form web for “L'utilisateur dans le groupe d'administration du domaine ne peut pas accéder au répertoire auquel le groupe a l'autorisation d'accéder”

C'est par conception. UAC distribue les informations d'identification d'administrateur à partir d'un processus non élevé. Si vous essayez d'utiliser un processus non élevé pour accéder à un partage distant en utilisant uniquement les informations d'identification d'administration, UAC enlèvera les informations d'identification de l'administrateur du jeton de sécurité de la procédure et le processus recevra une erreur "accès refusé".

Pour remédier à cela, vous pouvez:

  1. N'utilisez pas les informations d'identification de l'administrateur pour sécuriser le dossier (créez un groupe générique uniquement à cet effet), ou

  2. Désactiver UAC sur le serveur de fichiers (non recommandé), ou

  3. Activez la clé de Registre suivante sur le serveur de fichiers pour désactiver cette partie de l'UAC.

Plus d'informations: Description du contrôle de compte utilisateur et des restrictions à distance dans Windows Vista

UAC supprime les informations d'identification du Gestionnaire de domaine sur le serveur lui-même, c'est une partie de la façon dont fonctionne UAC (stupidement IMO). Une option est de désactiver complètement UAC sur le serveur pour ne pas recevoir l'invite «Vous n'avez pas actuellement l'autorisation d'accéder à ce dossier».

EDIT: voici un exemple thread btw: http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/9061bc1c-42ea-47ed-8c7d-56b07139fb86/

EDIT2: la réponse de John ci-dessous pourrait être exactement ce que vous recherchez. Essayez-le et reportez-vous si vous le pouvez.

La meilleure façon est de changer la clé de registre à

 registry::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system; key = EnableLUA 
  • Assurez-vous qu'il est réglé sur Valeur 0 pour désactiver
  • Vous devez redémarrer pour que cela prenne effet.
  • L'interface peut le montrer comme désactivé alors que le registre est activé
  • La meilleure façon de réinitialiser toute la security / propriété pour NTFS?
  • Les users ne peuvent pas supprimer les icons publiques
  • Plusieurs développeurs Web poussent le code vers un site en direct
  • Comment append un user linux avec un mot de passe random ou invalide à partir d'un script
  • Changer uniquement un propriétaire spécifique lors de l'extraction de l'archive tar
  • Comment afficher des UID numériques / GID stockés dans un file tar
  • Empêcher les utilisateurs d'exécuter certains programmes
  • Code source Nrogx Password Protect Directory Downloads
  • Différence entre les users 'apache' et 'www'?
  • L'étendue / la signification exacte de l'autorisation "Connectez-vous en tant que service" (W2K, W2K3)?
  • Un moyen approprié de configurer un démon de téléchargement concernant les permissions
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.