ฉันหวังว่าใครบางคนสามารถช่วยฉันด้วยปัญหาการอนุญาต NTFS นี้ เวอร์ชันสั้นคือ ฉันไม่สามารถเขียนไฟล์ใหม่ใน F:\SomeDir แม้ว่าฉันจะได้รับสิทธิ์เต็มรูปแบบผ่านทั้งกลุ่ม "Domain Admins" และกลุ่มที่สองที่ไม่มีสิทธิพิเศษ แท็บ "การอนุญาตที่มีประสิทธิภาพ" ใน UI สิทธิ์ของนักสำรวจแสดงว่าฉันมีสิทธิ์ควบคุมทั้งหมด และไม่มี "การปฏิเสธ" ที่ใดก็ได้ใน ACL หรือสิ่งอื่นที่ดูผิดปกติ ฉันเข้าสู่ระบบเครื่องผ่าน RDP และเข้าถึงดิสก์โดยตรงในฐานะไดรฟ์ในเครื่อง ไม่ใช่ผ่านการแชร์

F:\SomeDir>set U
USERDNSDOMAIN=THEOFFICE.LOCAL
USERDOMAIN=THEOFFICE
USERNAME=thisisme
USERPROFILE=C:\Users\thisisme

F:\SomeDir>icacls .
. BUILTIN\Administrators:(I)(F)
  CREATOR OWNER:(I)(OI)(CI)(IO)(F)
  THEOFFICE\Domain Admins:(I)(OI)(CI)(F)
  NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
  BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
  BUILTIN\Users:(I)(OI)(CI)(RX)

Successfully processed 1 files; Failed processing 0 files

F:\SomeDir>net group /domain "Domain Admins"
The request will be processed at a domain controller for domain THEOFFICE.local.

Group name     Domain Admins
Comment        Designated administrators of the domain

Members

-------------------------------------------------------------------------------
Administrator        thatguy                  thisisme
The command completed successfully.

F:\SomeDir>echo "whyUNoCreateFile?" > whyUNoCreateFile.txt
Access is denied.

ฉันค้นหาคำตอบและพบปัญหาที่คล้ายกันซึ่งนำไปสู่ ​​UAC (เช่นเหตุใดการลบกลุ่ม EVERYONE จึงป้องกันไม่ให้ผู้ดูแลระบบโดเมนเข้าถึงไดรฟ์ ) ฉันไม่สามารถปิด UAC ได้ในขณะนี้ ดังนั้นฉันจึงลองใช้กลุ่ม "ปกติ" ที่ฉันเป็นส่วนหนึ่งด้วย กลุ่มนี้ไม่มีการมอบหมายสิทธิ์พิเศษและไม่ได้เป็นส่วนหนึ่งของกลุ่มผู้ดูแลระบบ ยังไม่มีลูกเต๋า:

[***** This one command executed in an elevated shell *****]
F:\SomeDir>icacls . /grant THEOFFICE\iteveryone:(OI)(CI)F
processed file: .
Successfully processed 1 files; Failed processing 0 files


F:\SomeDir>net group /domain "iteveryone"
The request will be processed at a domain controller for domain THEOFFICE.local.

Group name     ITeveryone
Comment        

Members

-------------------------------------------------------------------------------
Administrator       thatguy                    thisisme
otherguy                someitguy
The command completed successfully.

F:\SomeDir>echo y > u
Access is denied.

อย่างที่คุณเห็น การใช้กลุ่ม "ปกติ" ไม่ได้ช่วยอะไร ฉันได้ออกจากระบบและกลับเข้าสู่เซิร์ฟเวอร์เพื่อให้แน่ใจว่าโทเค็นการเข้าสู่ระบบของฉันเป็นปัจจุบัน และฉันอยู่ในกลุ่มเหล่านี้ก่อนที่เซิร์ฟเวอร์จะถูกสร้างขึ้น

ถ้าฉันอนุญาตตัวเองอย่างชัดแจ้ง จะอนุญาตให้ฉันเขียนไฟล์:

[***** This one command executed in an elevated shell *****]
F:\SomeDir>icacls . /grant THEOFFICE\thisisme:(OI)(CI)F
processed file: .
Successfully processed 1 files; Failed processing 0 files

F:\SomeDir>echo y > u

F:\SomeDir>type u
y

ข้อกำหนดของฉันคือให้กลุ่ม "Domain Admins" มีการควบคุมทั้งหมด หรือหากไม่สามารถทำได้โดยไม่ได้ปิดใช้งาน UAC กลุ่มที่สองก็จะทำได้ แต่ฉันไม่สามารถทำงานอย่างใดอย่างหนึ่งได้

ฉันนิ่งงันจริงๆ ใครช่วยชี้ให้เห็นสิ่งที่ฉันอาจมองข้ามได้ไหม

answer

ดังนั้นปรากฎว่าปัญหานี้เป็นปัญหาตาม UAC ที่อธิบายไว้ในบทความอื่น กลุ่ม "ITeveryone" ไม่ได้ผลสำหรับฉันเพราะเป็นกลุ่ม "การกระจาย" ไม่ใช่กลุ่ม "ความปลอดภัย" ฉันลองสิ่งเดียวกันกับกลุ่มความปลอดภัยที่ฉันเป็นสมาชิกและทำงานได้ตามที่คาดไว้