web-dev-qa-db-ja.com

Windows 2008 R2NTFSファイルのアクセス許可が意図したとおりに機能しない

最初のWindowsServer 2008R2サーバーを導入しました。ファイルサーバーになります。しかし、UACの結果と思われる奇妙な問題が発生しています。

フォルダを共有しようとすると、共有権限で全員グループを「フルコントロール」に設定します。次に、NTFSボリュームをフォーマットするときにデフォルトのセキュリティ記述子から継承しないようにNTFSアクセス許可を設定し、現在の記述子を削除して独自の記述子を設定できるようにします。ローカル管理者グループが完全に制御し、domain\Domain Adminsグループが完全に制御し、SYSTEM組み込みユーザーが完全に制御できるように設定しました。

これを行うと、ドメイン管理者としてフォルダーへのアクセス許可が失われます。これが発生する原因は何ですか?マシンはドメインに参加しており、Domain Adminsグループはローカル管理者グループの一部です(特にNTFSアクセス許可にドメイン管理者がいるので、それは問題ではありません)。

これは、デフォルトのNTFSセキュリティ記述子がどのように見えるかです。

変更されたセキュリティは次のようになります。

これにより、ログオンしているドメイン管理者と他のドメイン管理者がアクセスできなくなるのはなぜですか?この動作は、Windows Server2003マシンでは見られません。

編集:さらにテストを行ったところ、ログオンしているユーザーがDomain Adminsグループのメンバーであるにもかかわらず、そのマシンのログオンしているユーザーのみがアクセスを拒否されているようです。ドメイン管理者は、ネットワークを介して共有にアクセスするのに問題はありません。

編集2:わかりました。以下のZoredacheに感謝します。正しい軌道に乗って、何が起こっているのかを理解することができました。これは確かにUACでしたが、Windows Server 2008R2に付属するデフォルトのUAC設定ではありませんでした。実際には、サーバーのデフォルト設定を変更していたドメイン全体のUACグループポリシーオブジェクトがあります。

これはデフォルト設定です:

そして、これがGPOの設定でした。

GPOはローカルセキュリティよりも優先されるため、これがNTFSアクセス許可の表示やフォルダーへのアクセスの取得を妨げていました。

新しいUAC GPOを作成し、WMIでサーバーのみにフィルタリングすることで、この動作を修正しました。

3
Ryan Mortier

あなたはUACについて言及するのは正しいです。これは機能です。 UACを無効にする方法については、こちらをご覧ください。

管理者ファイル変更権限

4
Zoredache