域pipe理员组拒绝访问d:驱动器

我有一个全新的Active Directory( CORP-AD )安装在Windows 2008R2上运行。 我有一个域控制器( PDC01 )和一个成员服务器( ME01 )。

成员服务器有一个C:和一个D:驱动器。

我们的标准构build的一部分是从D:驱动器的根除去所有权限,除了:

 SYSTEM(完全控制)
pipe理员(完全控制)

我创build了一个新的域用户ADMIN01并授予它成为Domain Admins组的成员。

Domain Admins是成员服务器的本地Administrators组的成员。

当我作为域用户ADMIN01 (通过RDP)login到成员服务器ME01 ,该用户无法访问D:驱动器。 然后,我尝试将完全控制的Domain Admins组添加到D:驱动器的根目录,但是我的ADMIN01用户仍然无法访问D:驱动器:

在这里输入图像说明

如果我以本地计算机pipe理员身份login到ME01 ,则根本无法访问D:驱动器。

我发现了这个问题,其中大致描述了同样的问题:

为什么我无法浏览我的D:驱动器,即使我在pipe理员组中?

答案正确地表明这是一个UAC特权提升问题,但我对这个陈述感到困惑,特别是大胆的部分:

您可以通过组策略修改此行为, 但请记住,默认设置是故意设置的 – 您要更改的特定策略是“用户帐户控制:在pipe理员批准模式下运行所有​​pipe理员” – 您可以find有关如何在这个MSDN文章中做这个。

这是否暗示“用户帐户控制:以pipe理员批准模式运行所有pipe理员”不应禁用?

如果启用了,我不会通过“继续”button+盾牌图标获得UAC挑战,我只是简单地拒绝访问驱动器。 这是正常的吗?

  • 根据客户端IPnetworkingparsing相同的DNS名称到不同的IP
  • 混淆本地用户帐户和域用户帐户
  • 跨越海洋访问文件共享(通过VPN)
  • SBS 2008 DNS在美国以外的.uk,.eu和其他一些顶级域名(TLD)在1天后停止工作
  • Windows Server 2008上的Apache + PHP
  • Windows Server 2008 R2terminal服务器互联网广播stream
  • 5 Solutions collect form web for “域pipe理员组拒绝访问d:驱动器”

    原因,虽然我不明白为什么,似乎是由D:驱动器权限中删除内置的Everyone组引起的。

    我跟随了一个新的问题:

    为什么删除EVERYONE组会阻止域pipe理员访问驱动器?

    看起来这不是一个UAC问题,但有人在驱动器级别的权限混乱。

    我将以本地pipe理员身份login,然后比较在C:和D:驱动器上设置的权限,我敢打赌,域pipe理员要么删除,要么被明确拒绝。

    这听起来像是有人授予pipe理员而不是pipe理员完全控制。

    您是否在完成组成员身份更改并将用户添加到域pipe理员组后,以用户ADMIN01的身份完全注销?

    您提到远程桌面很多,也许用户的会话只是断开连接,并且组成员身份更改不会生效,直到用户完全注销并重新login(使用Windows,也可能有两个会话打开同时)。

    ADMIN01用户是否可以访问只有域pipe理员才能访问的其他pipe理工具? 这将排除它是驱动器上的ACL问题还是组成员资格/权限问题。

    在今年TechEd的一次演讲中,微软的某个人提出,如果你的pipe理员知道他们在做什么,你可以在服务器上禁用UAC。

    服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器.