Tengo un nuevo Active Directory ( CORP-AD
) en Windows 2008R2. Tengo un controlador de dominio ( PDC01
) y un servidor miembro ( ME01
).
El servidor miembro tiene un C:
y un D:
conducir.
Parte de nuestra construcción estándar es eliminar todos los permisos de root de la D:
conducir excepto:
SYSTEM (Full Control)
Administrators (Full Control)
He creado un nuevo usuario de dominio ADMIN01
y le concedió la condición de miembro de la Domain Admins
grupo.
Domain Admins
es miembro de la red local del servidor miembro Administrators
grupo.
Cuando me conecto (vía RDP) al servidor miembro ME01
como usuario del dominio ADMIN01
este usuario no puede acceder al D:
conducir. Luego intenté añadir el Domain Admins
con control total a root del D:
pero mi ADMIN01
el usuario sigue sin poder acceder al D:
conducir:
Si entro en ME01
como administrador local de la máquina no tengo problemas para acceder al D:
conducir en absoluto.
He descubierto esta pregunta que describe más o menos el mismo problema:
¿Por qué no puedo examinar mi unidad D: aunque esté en el grupo de administradores?
La respuesta sugiere correctamente que se trata de un problema de elevación de privilegios UAC, pero estoy desconcertado por esta declaración, en particular la parte en negrita:
Puede modificar este comportamiento mediante la directiva de grupo h que la configuración por defecto es intencionada - que desea cambiar es "Control de cuentas de usuario": Ejecutar todos los todos los administradores en modo de aprobación de administrador". en este artículo de MSDN.
¿Esto sugiere que "Control de cuentas de usuario: Ejecutar todos los administradores en el modo de aprobación Admin" no debe desactivarse?
Si está activada, no me aparece el desafío de UAC con el botón "Continuar" + el icono del escudo, sino que simplemente se me deniega el acceso a la unidad. ¿Es esto normal?
0 votos
Su captura de pantalla no muestra las entradas de control de acceso para el grupo de seguridad Administradores de dominio (o Administradores para el caso). Sólo muestra las ACE de la cuenta integrada SYSTEM.
0 votos
@sean - Ahora sé la razón, pero no entiendo por qué: serverfault.com/questions/292663/ - Antes mencioné en la pregunta que
SYSTEM
,Domain Admins
yAdministators
tener el control total. La imagen no aporta mucho, lo admito.0 votos
Actualmente estoy lidiando con este problema en Server 2012 R2. Tenemos exactamente los mismos síntomas que usted tiene. Hoy nuestro grupo de administración de dominio se corrompió y ninguna cuenta de dominio pudo iniciar sesión para arrancar. Nos vimos obligados a eliminar el servidor del dominio y volver a agregarlo. Una vez que lo volvimos a añadir el permiso de unidad parecía estar resuelto.