Domain Adminsグループがd:ドライブへのアクセスを拒否しました
Windows 2008R2で実行している最新のActive Directory(CORP-AD)インストールがあります。ドメインコントローラー(PDC01)とメンバーサーバー(ME01)があります。
メンバーサーバーには、C:ドライブとD:ドライブがあります。
標準ビルドの一部は、D:ドライブのルートからすべての権限を削除することです:
システム(フルコントロール) 管理者(フルコントロール)
新しいドメインユーザーADMIN01を作成し、Domain Adminsグループのメンバーシップを付与しました。
Domain Adminsは、メンバーサーバーのローカルAdministratorsグループのメンバーです。
ドメインユーザーME01としてメンバーサーバーADMIN01に(RDP経由で)ログオンすると、このユーザーはD:ドライブにアクセスできません。次に、Domain AdminsドライブのルートにフルコントロールのD:グループを追加しようとしましたが、ADMIN01ユーザーはD:ドライブにアクセスできません。
ローカルマシン管理者としてME01にログオンすると、D:ドライブへのアクセスにまったく問題はありません。
私は多かれ少なかれ同じ問題を説明するこの質問を発見しました:
答えは、これがUAC特権の昇格の問題であることを正しく示唆していますが、私はこのステートメント、特に太字部分に戸惑っています。
この動作はグループポリシーで変更できますが、デフォルトは意図的にそのように設定されていることに注意してください -変更する特定のポリシーは、「ユーザーアカウント制御:管理者承認モードですべての管理者を実行する」です。これを行う方法の詳細については、このMSDNの記事を参照してください。
これは、「ユーザーアカウント制御:すべての管理者を管理者承認モードで実行する」を無効にしないことを示唆していますか?
有効になっている場合、[続行]ボタン+シールドアイコンでUACチャレンジを受け取れません。ドライブへのアクセスが拒否されただけです。これは正常ですか?
理由はわかりませんが、組み込みのEveryoneグループをD:ドライブのアクセス許可から削除したことが原因のようです。
私はこれを新しい質問でフォローアップしました:
それは実際にはUACの問題ではないようですが、誰かがドライブレベルのアクセス許可をいじりました。
私はローカル管理者としてログインし、C:ドライブとD:ドライブの両方に設定されているアクセス許可を比較します。ドメイン管理者が削除されているか、明示的に拒否されているはずです。
Administratorは、管理者のフルコントロールではないようです。
グループメンバーシップを変更し、ユーザーをDomain Adminsグループに追加した後、ユーザーADMIN01として完全にログオフしましたか?
リモートデスクトップについてよく説明しましたが、ユーザーのセッションが切断されただけかもしれません。グループメンバーシップの変更は、ユーザーが完全にログオフして再度ログオンするまで有効になりません(Windowsでは、2つのセッションを開くこともできます)同時)。
ADMIN01ユーザーは、ドメイン管理者だけが通常アクセスできる他の管理ツールにアクセスできますか?これは、ドライブのACLの問題か、グループのメンバーシップ/アクセス権の問題かを除外します。