NTFS-도메인 관리자는 로컬 관리자 그룹에 속하더라도 권한이 없습니다.

IT 부서의 "모범 사례"에 따르면 두 명의 계정이 있습니다. 권한이없는 계정 및 글로벌 도메인 관리자 ($ DOMAIN \ Domain Admins) 그룹의 구성원 인 계정 파일 서버에서 Domain Admins 그룹은 로컬 관리자 ($ SERVER \ Administrators) 그룹에 추가됩니다. 로컬 관리자 그룹은이 디렉토리에 대해 모든 권한이 부여됩니다. 꽤 표준입니다.

그러나 해당 디렉토리로 내려 가기 위해 도메인 관리자 계정으로 서버에 로그인하는 경우 "현재이 폴더에 액세스 할 수있는 권한이 없습니다. 계속 액세스하려면 계속 클릭하십시오"라는 UAC 프롬프트를 승인해야합니다. 이 폴더. " 계속을 클릭하면 $ SERVER \ Administrators (도메인 관리자 그룹을 통해 구성원 임)가 이미 모든 권한을 가지고 있음에도 불구하고 해당 폴더 및 그 밖의 모든 항목에 대한 도메인 관리자 계정 권한이 부여됩니다.

누군가이 동작을 설명하고 파일 공유에 대한 NTFS 권한을 관리하는 적절한 방법이 Server 2008 R2 및 UAC의 관리 권한과 관련하여 설명 할 수 있습니까?

프로그램이 관리자 권한을 요청하면 UAC가 트리거됩니다. 탐색기와 같이 관리자 권한을 요청하는 경우 해당 파일 및 폴더의 NTFS ACL이 필요하기 때문에 관리자 권한을 요청합니다.

내가 아는 네 가지 옵션이 있습니다.

1. 서버에서 UAC를 비활성화하십시오.

   • 어쨌든 (일반적인 경우)이 작업을 수행하고 서버에서 UAC가 필요한 경우 일반적으로 관리자 만 서버에 로그온해야하며 서버가 무엇인지 알아야하기 때문에 잘못하고 있다고 주장합니다 하기.
     
     

2. 높은 인터페이스에서 권한 관리

   • 높은 cmd창, PS창 또는 탐색기 인스턴스는 모두 UAC 팝업을 피하기 위해 작동합니다. ( Run As Administrator)
     
     

3. 원격으로 NTFS 권한 관리

   • UAC가 켜져 있지 않은 컴퓨터에서 UNC를 통해 연결하십시오.
     
     

4. NTFS ACL에서 조작하려는 모든 파일 및 폴더에 대한 전체 액세스 권한이있는 추가 비 관리 그룹을 만들고 관리자를 할당하십시오.

   • 파일에 대한 액세스 권한이 다른 비 관리 그룹을 통해 부여되므로 탐색기에 더 이상 관리 권한이 필요하지 않으므로 UAC 팝업이 트리거되지 않아야합니다.

가장 좋은 방법은 다음 위치에서 레지스트리 키를 변경하는 것입니다.

레지스트리 :: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ policies \ system; 키 = EnableLUA

비활성화하려면 값 0으로 설정되어 있는지 확인하십시오. 적용하려면 재부팅해야합니다. 레지스트리가 활성화 된 동안 인터페이스가 비활성화 된 것으로 표시 될 수 있습니다.

로컬 관리자 그룹 구성원이 파일을 변경하고 관리자 공유에 연결할 수 있도록 다음 정책을 모두 설정하십시오.

이러한 변경을 수행 한 후 재부팅해야합니다.

GPO를 통해 또는 로컬 보안 정책에서 관리자에 대한 관리자 승인 모드를 비활성화 할 수도 있습니다.

로컬 보안 정책 \ 보안 설정 \ 로컬 정책 \ 보안 옵션 \ 사용자 계정 컨트롤 : 관리자 승인 모드에서 모든 관리자 실행-비활성화