도메인 관리자 그룹의 사용자는 그룹이 액세스 권한을 가진 디렉토리에 액세스 할 수 없습니다

내 도메인 랩 중 하나를 가지고 놀 때 다소 흥미로운 문제가 발생했습니다.

2008 R2 파일 서버에는 "직원"OU의 모든 사용자에 대한 폴더 리디렉션에 사용되는 디렉토리가 있습니다. 디렉토리에는 다음과 같은 권한이 설정되어 있습니다.

• FILESERVER \ Administrators : 디렉토리, 서브 디렉토리 및 파일에 대한 모든 권한 허용
• DOMAIN \ Domain Admins : 디렉토리, 하위 디렉토리 및 파일에 대한 모든 권한 허용
• 인증 된 사용자 : 파일 작성, 폴더 작성, 속성 작성 및 확장 된 속성을 최상위 디렉토리에만 쓸 수 있습니다.

또한이 디렉토리는 인증 된 사용자 그룹에 대한 "모든 권한 허용"을 가진 네트워크 공유입니다.

도메인 관리자 그룹의 구성원 인 john.doe 사용자가 파일 서버에서 디렉토리에 액세스하려고하면 "현재이 폴더에 액세스 할 권한이 없습니다"라는 오류가 발생합니다. 동일한 서버에서 네트워크 공유에 액세스하려고하면 권한 거부 오류가 발생합니다 (사용자는 여전히 공유 내에서 자신의 디렉토리에 액세스 할 수 있음).

동일한 사용자로 로그온 한 다른 컴퓨터에서 공유에 액세스하면 구성된대로 액세스가 허용됩니다.

파일 서버에 로그온 한 상태에서 디렉토리의 파일에 액세스 할 수있는 유일한 방법은 관리자 권한 명령 프롬프트를 여는 것입니다. 그룹 정책을 통해 도메인의 모든 컴퓨터에 대해 UAC를 사용하지 않도록 설정합니다 (관리자 승인 모드에서 모든 관리자 실행 사용 및 확인없이 기본 동작이 상승하도록 설정 됨).

모든 도로는 사용자에게 액세스가 허용되어 있지만 여전히 거부되고 있습니다. 어떤 아이디어?

이것은 의도적으로 설계된 동작입니다. UAC는 높은 수준의 프로세스에서 관리 자격 증명을 제거합니다. 관리자 자격 증명 만 사용하여 원격 공유에 액세스하기 위해 높은 프로세스를 사용하려는 경우 UAC는 프로세스의 보안 토큰에서 관리자 자격 증명을 제거하고 프로세스에 "액세스 거부"오류가 발생합니다.

이를 해결하기 위해 다음을 수행 할 수 있습니다.

1. 폴더를 보호하기 위해 관리자 자격 증명을 사용하지 마십시오 (이 목적으로 만 일반 그룹 만들기).

2. 파일 서버에서 UAC를 비활성화합니다 (권장하지 않음). 또는

3. 이 UAC 부분 만 비활성화하려면 파일 서버에서 다음 레지스트리 키를 활성화하십시오.

추가 정보 : Windows Vista의 사용자 계정 컨트롤 및 원격 제한에 대한 설명

UAC는 서버 자체에서 도메인 관리자 자격 증명을 제거하고 있으며 UAC (어리석게 IMO) 작동 방식의 일부입니다. 한 가지 옵션은 서버에서 UAC를 완전히 비활성화하여 "현재이 폴더에 액세스 할 수있는 권한이 없습니다"라는 메시지가 표시되지 않도록하는 것입니다.

편집 : 여기에 스레드 btw 예제가 있습니다 : http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/9061bc1c-42ea-47ed-8c7d-56b07139fb86/

EDIT2 : 아래 John의 대답은 당신이 찾고있는 것일 수도 있습니다. 그것을 시도하고 가능하면 다시보고하십시오.

가장 좋은 방법은 다음 위치에서 레지스트리 키를 변경하는 것입니다.

registry::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system; key = EnableLUA

• 비활성화하려면 값 0으로 설정되어 있는지 확인하십시오.
• 적용하려면 재부팅해야합니다.
• 레지스트리가 활성화 된 상태에서 인터페이스가 비활성화 된 것으로 표시 될 수 있음