이것은이 질문과 관련이 있습니다 :
완전히 새로운 AD 랩 환경에 구성원 서버가 있습니다.
그룹
ADMIN01의 구성원 인 Active Directory 사용자 가 있습니다Domain AdminsDomain Admins글로벌 그룹 구성원 서버의 로컬의 구성원 인Administrators그룹서버가 도메인의 구성원이
D:된 후에 추가 한 새 드라이브 의 루트에 다음 권한이 구성 됩니다.
모든 사람-특별 권한-이 폴더 만
폴더 트래버스 / 파일 실행
폴더 목록 / 데이터 읽기
속성 읽기
확장 된 속성 읽기
CREATOR OWNER-특별 권한-하위 폴더 및 파일 만
완전한 통제하에있는
SYSTEM-이 폴더, 하위 폴더 및 파일
완전한 통제하에있는
관리자-이 폴더, 하위 폴더 및 파일
완전한 통제하에있는
위의 ACL에서 도메인 사용자 ADMIN01는 D:드라이브에 로그온하고 드라이브에 액세스하고 폴더와 파일을 만들 수 있습니다.
Everyone이 드라이브의 루트 에서 권한을 제거하면 Domain Admins(예 :) ADMIN01그룹 의 구성원 인 기본 제공 사용자 가 더 이상 드라이브에 액세스 할 수 없습니다. 도메인 Administrator계정에 문제가 없습니다.
로컬 컴퓨터 Administrator와 Domain Admin"관리자"계정은 여전히 드라이브에 대한 모든 액세스 권한을 갖지만 추가 된 "일반"사용자 Domain Admins는 액세스가 거부됩니다.
이것은 볼륨을 생성하고 Everyone로컬 시스템으로 로그인 한 권한을 제거 Administrator했는지 또는 Domain Admin"관리자"계정 으로 로그온 했는지 여부에 관계없이 발생 합니다.
이전 질문에서 언급했듯이 해결 방법은 "사용자 계정 컨트롤 : 관리자 승인 모드에서 모든 관리자 실행" 정책을 구성원 서버에서 로컬로 또는 도메인 전체 GPO를 통해 비활성화하는 것 입니다.
의 ACL Everyone에서 계정을 제거하면 D:멤버쉽이 부여 된 내장되지 않은 사용자에게 왜이 문제가 발생 Domain Admins합니까?
또한 이러한 유형의 기본 제공되지 않은 Domain Admin사용자가 단순히 드라이브에 대한 액세스가 거부되지 않고 권한을 올리라는 메시지를 표시 하지 않는 이유는 무엇입니까?