관리자 그룹의 사용자는 관리자 (Win 2012 R2)와 동일한 권한을 가지고 있지 않습니다.

10

사용자 관리자를 만들고이 사용자를 관리자 그룹 (로컬, AD 없음)에 넣었습니다. 그러나이 관리자에게는 관리자와 동일한 권한이 없습니다.

예 1 : 파일은 SYSTEM이 소유하고 관리자 그룹은 모든 권한을 갖습니다. 이 파일에 사용자의 권한을 추가하려고하면 관리자에게는 작동하지 않습니다. 관리자와 함께 아무 문제없이 작동합니다.

예 2 : IE 보안 강화 구성은 관리자의 경우 OFF, 사용자의 경우 ON으로 설정되어 있습니다. 관리자에게는 이것이 정상이며 관리자에게는 여전히 켜져 있습니다.

이것이 구성 문제입니까? 그렇다면 올바르게하려면 어떻게해야합니까?

permissions  windows-server-2012-r2  users 
마틴
소스
1
이런 식으로 동작해서는 안됩니다. 이 로컬 계정이 로컬 관리자 그룹에 있는지 확인하십시오. 해당 사용자로 로그인 한 상태에서 해당 사용자 WHOAMI /GROUPS /FO LIST가 올바른 그룹의 일부인지 확인하기 위해 실행할 수 있습니다 .
TheCleaner
5
새 사용자를 관리자 그룹의 구성원으로 만든 후 로그 아웃했다가 다시 로그인 했습니까? 그의 액세스 토큰은 해당 시스템의 현재 세션의 수명 동안 변경되지 않습니다
마티아스 R. Jessen
@TheCleaner : 이들은 그가 속한 그룹입니다 : Everyone, NT AUTHORITY \ Local account and Administrators 그룹의 구성원, BULTIN \ Administrators, BUILTIN \ Users, NT AUTHORITY \ REMOTE INTERACTIVE LOGON, NT AUTHORITY \ INTERACTIVE, NT AUTHORITY \ Authenticated Users , NT AUTHORITY \이 조직, NT AUTHORITY \ 로컬 계정, 로컬, NT AUTHORITY \ NTLM 인증, 필수 레이블 \ 중간 필수 수준
Maarten
도메인에 있지 않으면 UAC 문제인지 궁금합니다. 서버에서 UAC (User Account Control)를 비활성화하면 작동합니까? social.technet.microsoft.com/wiki/contents/articles/…
TheCleaner
UAC를 비활성화 한 후 권한 문제 (예 1)가 정상인 것 같습니다. IE ESC는 여전히 문제입니다.
Maarten

답변:

18

관리자 권한이 있더라도 명시 적으로 요청하지 않으면 실제로 권한을 갖지 못하게하는 기능 (많은 사람들이 싫어하는 기능) 인 User Account Control 에 의해 발생할 수 있습니다 . UAC 동작을 제어하는 ​​두 가지 고유 한 정책이 있습니다 (둘 다에 있음 Computer settings\Windows settings\Security settings\Local policies\Security options). 하나는 기본 제공 Administrator계정 용이고 다른 하나는 다른 모든 관리 사용자 용입니다.

  • 사용자 계정 컨트롤 : 기본 제공 관리자 계정에 대한 관리자 승인 모드 (기본적으로 비활성화되어 있음)
  • 사용자 계정 컨트롤 : 모든 관리자를 관리자 승인 모드로 실행 (기본적으로 활성화 됨)

의미 : 기본적으로 기본 제공 Administrator계정은 UAC의 영향을받지 않지만 다른 모든 관리 사용자 ; 따라서 관리 사용자 (내장 된 것과 다름 Administrator)는 Administrators그룹 의 구성원 인 경우에도 실제로 관리 권한을 갖지 않을 수 있습니다 .

자세한 내용은 여기를 참조하십시오 .

마시모
소스
두 번째 설정을 비활성화하면 Windows 10에서 문제가 해결되었습니다.이 설정이 왜 존재하는지 설명 할 수 있습니까? 해당 그룹의 구성원이 기본적으로 해당 그룹의 권한에 액세스 할 수없는 경우 관리자 그룹을 갖는 점은 무엇입니까?
Mordred
1
요점은 UAC가 관리자 권한을 가진 사용자가 실수로 자신의 발에 총을 쏘는 것을 막는 것입니다. 프로그램을 시작할 때 "관리자 권한으로 실행"권한을 시스템에 명시 적으로 요청해야하기 때문입니다.
Massimo
1
그러나 대부분의 고급 사용자는 UAC를 완전히 비활성화하기 때문에 구현이 매우 까다 롭습니다 (Windows 탐색기에서 "관리자 권한으로 실행"을 사용할 수 없음). 실제로 컴퓨터를 사용할 수 있습니다.
Massimo
2
UAC는 Windows Vista 이후로 사용되었지만 UAC를 사용하지 않도록 설정하면 Metro / Modern 앱의 실행을 효과적으로 중지하기 때문에 Windows 8 이상 (10 포함)에서 훨씬 더 나쁩니다. 알 수없는 이유로 실제로 UAC가 필요 합니다. UAC가 비활성화 된 경우에도 시작되지 않습니다.
Massimo
1

나는 비슷한 상황이 있었고 http://clintboessen.blogspot.com/2013/05/you-dont-currently-have-permission-to.html (다른 상황에 해당) 의 단계에 따라 문제를 해결했습니다. 이것이 내가 가진 것과 내가 한 일입니다.

  1. Active Directory 도메인이없는 두 대의 컴퓨터, 하나는 Win 8.1 (예 : 이름 W81), 다른 하나는 Server 2012 (예 : 이름 w12)
  2. w12에서 두 명의 로컬 사용자 : PasswordA가있는 [UserA] 및 PasswordB가있는 [UserB] 둘 다 [Administrators] 로컬 그룹에 속합니다.
  3. w81의 두 로컬 사용자 : [UserA] 및 [UserB] (w12의 해당 사용자와 동일한 PasswordA 및 PasswordB 사용) 둘 다 [Administrators] 로컬 그룹에 속합니다.
  4. w12에서 폴더를 공유합니다. 공유 이름 : Temp1 $ b. 공유 권한 : [모두], 모든 권한 c. NTFS 권한 : [관리자], 모든 권한. 다른 그룹에는 NTFS 권한이 없습니다.
  5. W12에 [UserA] (으)로 로그인 한 후 UNC \ w12 \ Temp1 $를 사용하여 공유에 액세스하려고합니다. 액세스 권한이 없다는 오류가 표시됩니다. 공유가 발견되었습니다. 액세스 권한이 없습니다.
  6. W81에 [UserB] (으)로 로그인 한 상태에서 UNC \ w12 \ Temp1 $를 사용하여 공유에 액세스하려고합니다. 같은 오류가 발생합니다. RESTARING w12는 도움이되지 않습니다.
  7. NTFS 권한에 [UserA] 및 [UserB]를 명시 적으로 추가하면 5 단계와 6 단계를 사용하여 공유에 액세스 할 수 있습니다.
  8. 나는 w12에서 GPEdit.msc를 실행했고

컴퓨터 구성-> Windows 설정-> 보안 설정-> 로컬 정책-> 보안 옵션

# 1 및 # 3 권장 사항 설정을 사용했습니다.

# 1, 사용자 계정 컨트롤 : 기본 제공 관리자 계정에 대한 관리자 승인 모드 : 비활성화. # 3, 사용자 계정 컨트롤 : 관리자 승인 모드에서 모든 관리자를 실행 : 비활성화.

그리고 # 2를 그대로 두십시오 : # 2, 사용자 계정 컨트롤 : 관리자 승인 모드에서 관리자를위한 권한 상승 프롬프트 동작 : 비 Windows 바이너리에 대한 동의 프롬프트

  1. 머신을 다시 시작했는데 상황이 다시 발생하지 않았습니다.
옐가
소스
1
공유에 대한 액세스 권한 (공유 권한)은 파일에 대한 액세스 권한 (NTFS 권한)과 다릅니다. 그것들은 분리되어 있어야합니다.
artifex
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.