ドメイン管理者グループのユーザーは、グループがアクセスする権限を持つディレクトリにアクセスできません
ドメインラボの1つで遊んでいるときに、かなり興味深い問題に遭遇しました。
"Staff" OU内のすべてのユーザーのフォルダーリダイレクトに使用されている2008 R2ファイルサーバー上のディレクトリがあります。ディレクトリには次の権限が設定されています。
- FILESERVER\Administrators:ディレクトリ、サブディレクトリ、およびファイルへのフルコントロールを許可します
- DOMAIN\Domain Admins:ディレクトリ、サブディレクトリ、およびファイルへのフルコントロールを許可します
- 認証されたユーザー:ファイルの作成、フォルダーの作成、属性の書き込み、および拡張属性の最上位ディレクトリへの書き込みのみを許可します
さらに、ディレクトリは、Authenticated Usersグループに「フルコントロールを許可」するネットワーク共有でもあります。
ドメイン管理者グループのメンバーであるユーザーjohn.doeがファイルサーバーからディレクトリにアクセスしようとすると、「このフォルダーにアクセスする権限がありません」というエラーが表示されます。同じサーバーからネットワーク共有にアクセスしようとすると、アクセス拒否のエラーが発生します(ただし、ユーザーは引き続き共有内の自分のディレクトリにアクセスできます)。
同じユーザーとしてログオンしている別のコンピューターから共有にアクセスすると、構成どおりにアクセスが許可されます。
ファイルサーバーにログオンしているときにディレクトリ内のファイルにアクセスできる唯一の方法は、管理者特権のコマンドプロンプトを開くことです。グループポリシーを使用して、ドメイン内のすべてのコンピューターでUACを無効にします(すべての管理者を管理者承認モードで実行し、既定の動作を確認せずに昇格するように設定します)。
すべての道路がアクセスを許可されているユーザーを指していますが、それでも拒否されています。何か案は?
これは仕様によるものです。 UACは、昇格されていないプロセスから管理者資格情報を取り除きます。昇格されていないプロセスを使用して、管理者の資格情報のみを使用してリモート共有にアクセスしようとすると、UACはプロセスのセキュリティトークンから管理者の資格情報を取り除き、プロセスは "アクセス拒否"エラーを受け取ります。
これを修正するには、次の方法があります。
フォルダを保護するために管理者の資格情報を使用しないでください(この目的のために一般的なグループを作成します)、または
ファイルサーバーのUACを無効にする(非推奨)、または
ファイルサーバーで次のレジストリキーを有効にして、UACのこの部分だけを無効にします。
UACはサーバー自体のDomain Admin資格情報を取り除きます。これは、UAC(愚かなIMO)の動作の一部です。 1つのオプションは、サーバーでUACを完全に無効にして、「このフォルダーにアクセスする権限がありません」というプロンプトが表示されないようにすることです。
編集:これはスレッドの例ですbtw: http://social.technet.Microsoft.com/Forums/en-US/winservergen/thread/9061bc1c-42ea-47ed-8c7d-56b07139fb86/
編集2:以下のジョンの答えは、あなたが探しているものとまったく同じかもしれません。試してみて、できれば報告してください。