web-dev-qa-db-ja.com

NTFSアクセス許可-明示的な許可と拒否なしにもかかわらずアクセスが拒否されました

誰かがこのNTFSアクセス許可の問題で私を助けてくれることを願っています。短いバージョンでは、「Domain Admins」グループと2番目の非特権グループの両方を介して完全なアクセス許可が付与されているように見えても、F:\ SomeDirに新しいファイルを書き込むことができません。 Explorerのアクセス許可UIの[有効なアクセス許可]タブは、私が完全に制御できることを示しており、ACLのどこにも「拒否」などの異常に見えるものはありません。 RDPを介してマシンにログインし、共有を介さずにローカルドライブとしてディスクに直接アクセスしています。

F:\SomeDir>set U
USERDNSDOMAIN=THEOFFICE.LOCAL
USERDOMAIN=THEOFFICE
USERNAME=thisisme
USERPROFILE=C:\Users\thisisme

F:\SomeDir>icacls .
. BUILTIN\Administrators:(I)(F)
  CREATOR OWNER:(I)(OI)(CI)(IO)(F)
  THEOFFICE\Domain Admins:(I)(OI)(CI)(F)
  NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
  BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
  BUILTIN\Users:(I)(OI)(CI)(RX)

Successfully processed 1 files; Failed processing 0 files

F:\SomeDir>net group /domain "Domain Admins"
The request will be processed at a domain controller for domain THEOFFICE.local.

Group name     Domain Admins
Comment        Designated administrators of the domain

Members

-------------------------------------------------------------------------------
Administrator        thatguy                  thisisme
The command completed successfully.

F:\SomeDir>echo "whyUNoCreateFile?" > whyUNoCreateFile.txt
Access is denied.

回答を検索したところ、UACにつながる同様の問題が発生しました(例 EVERYONEグループを削除すると、ドメイン管理者がドライブにアクセスできなくなるのはなぜですか? )。現在、UACをオフにできないので、自分も参加している「通常の」グループを試します。このグループには特別な権利の割り当てはなく、管理グループの一部でもありません。まだサイコロはありません:

[***** This one command executed in an elevated Shell *****]
F:\SomeDir>icacls . /grant THEOFFICE\iteveryone:(OI)(CI)F
processed file: .
Successfully processed 1 files; Failed processing 0 files


F:\SomeDir>net group /domain "iteveryone"
The request will be processed at a domain controller for domain THEOFFICE.local.

Group name     ITeveryone
Comment        

Members

-------------------------------------------------------------------------------
Administrator       thatguy                    thisisme
otherguy                someitguy
The command completed successfully.

F:\SomeDir>echo y > u
Access is denied.

ご覧のとおり、「通常の」グループを使用しても効果はありませんでした。ログイントークンが最新であることを確認するために、サーバーからログアウトして再度ログインしました。いずれにしても、サーバーが作成される前は、これらのグループに属していました。

自分に明示的な許可を与えると、ファイルを書き込むことができます。

[***** This one command executed in an elevated Shell *****]
F:\SomeDir>icacls . /grant THEOFFICE\thisisme:(OI)(CI)F
processed file: .
Successfully processed 1 files; Failed processing 0 files

F:\SomeDir>echo y > u

F:\SomeDir>type u
y

私の要件は、「ドメイン管理者」グループがフルコントロールを持つことです。または、UACを無効にせずにそれが不可能な場合は、2番目のグループで実行できますが、どちらも機能しません。

私は本当に困惑しています。誰かが私が見落としている可能性があることを指摘できますか?

windows-server-2008-r2permissionsntfs
1
chris613

したがって、この問題は、他の記事で説明されているUACベースの問題であることがわかります。 「ITeveryone」グループは、「セキュリティ」グループではなく「配布」グループであったため、機能しませんでした。私もメンバーであるセキュリティグループで同じことを試しましたが、期待どおりに機能しました。

0
chris613