「ベストプラクティス」に従って、IT部門のスタッフは2つのアカウントを持っています。特権のないアカウントと、グローバルDomain Admins($ DOMAIN\Domain Admins)グループのメンバーであるアカウント。ファイルサーバーでは、Domain AdminsグループがローカルのAdministrators($ SERVER\Administrators)グループに追加されます。ローカル管理者グループには、これらのディレクトリに対するフルコントロールが付与されています。かなり標準。
ただし、そのディレクトリに移動するためにドメイン管理者アカウントでサーバーにログインする場合、「現在このフォルダーにアクセスする権限がありません。継続してにアクセスするには、続行をクリックしてください」というUACプロンプトを承認する必要があります。このフォルダ。」 [続行]をクリックすると、$ SERVER\Administrators(私はDomain Adminsグループを介してメンバーになっています)に既に完全な制御権があるにもかかわらず、そのフォルダーおよびその下にある他のすべてに対するドメイン管理者アカウントのアクセス許可が付与されます。
誰かがこの動作を説明できますか?また、ファイル共有のNTFSアクセス許可を管理する適切な方法は、Server 2008 R2およびUACの管理者権限に関してどのようなものですか?
右、プログラムが管理者特権を要求するとUACがトリガーされます。エクスプローラなど、管理者権限を要求します。これは、これらのファイルとフォルダに対するNTFS ACLが必要だからです。
私が知っている4つのオプションがあります。
サーバーでUACを無効にします。
昇格されたインターフェイスからアクセス許可を管理する
cmd
ウィンドウ、PS
ウィンドウ、またはExplorerインスタンスはすべて、UACポップアップを回避するために機能します。 (Run As Administrator
)NTFSアクセス許可をリモートで管理する
NTFS ACLで、操作するすべてのファイルとフォルダーへのフルアクセスを持つ追加の非管理グループを作成し、それに管理者を割り当てます。
最善の方法は、次の場所でレジストリキーを変更することです。
レジストリ:: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system;キー= EnableLUA
無効にするには、値が0に設定されていることを確認してください。有効にするには再起動する必要があります。レジストリが有効になっている間、インターフェイスで無効と表示される場合があります。
GPOまたはローカルセキュリティポリシーで、管理者の管理者承認モードを無効にすることもできます。
ローカルセキュリティポリシー\セキュリティ設定\ローカルポリシー\セキュリティオプション\ユーザーアカウント制御:すべての管理者を管理者承認モードで実行する-無効