ตาม "แนวทางปฏิบัติที่ดีที่สุด" พนักงานในแผนกไอทีของเรามีสองบัญชี บัญชีที่ไม่มีสิทธิพิเศษและบัญชีที่เป็นสมาชิกของกลุ่ม Domain Admins ส่วนกลาง ($DOMAIN\Domain Admins) บนเซิร์ฟเวอร์ไฟล์ของเรา กลุ่ม Domain Admins จะถูกเพิ่มในกลุ่มผู้ดูแลระบบท้องถิ่น ($SERVER\Administrators) กลุ่มผู้ดูแลระบบภายในได้รับการควบคุมทั้งหมดบนไดเร็กทอรีเหล่านี้ สวยได้มาตรฐาน

อย่างไรก็ตาม หากฉันเข้าสู่ระบบเซิร์ฟเวอร์ด้วยบัญชี Domain Admin เพื่อลงไปยังไดเรกทอรีนั้น ฉันต้องอนุมัติข้อความแจ้ง UAC ที่ระบุว่า "ขณะนี้คุณไม่มีสิทธิ์เข้าถึงโฟลเดอร์นี้ คลิกดำเนินการต่อเพื่อเข้าถึงอย่างถาวร โฟลเดอร์นี้" การคลิกดำเนินการต่อจะทำให้สิทธิ์บัญชีผู้ดูแลโดเมนของฉันในโฟลเดอร์นั้นและสิ่งอื่นใดที่อยู่ด้านล่างแม้ว่า $SERVER\Administrators (ซึ่งฉันเป็นสมาชิกผ่านกลุ่ม Domain Admins) ก็มีการควบคุมอย่างสมบูรณ์อยู่แล้ว

ใครสามารถอธิบายพฤติกรรมนี้และวิธีที่เหมาะสมในการจัดการสิทธิ์ NTFS สำหรับการแชร์ไฟล์เกี่ยวกับสิทธิ์การดูแลระบบกับ Server 2008 R2 และ UAC

answer

ใช่ UAC ถูกเรียกใช้เมื่อโปรแกรมร้องขอสิทธิ์ผู้ดูแลระบบ เช่น Explorer ที่ขอสิทธิ์ของผู้ดูแลระบบ เพราะนั่นคือสิ่งที่ NTFS ACL ในไฟล์และโฟลเดอร์เหล่านั้นต้องการ

คุณมีสี่ตัวเลือกที่ฉันรู้

  1. ปิดการใช้งาน UAC บนเซิร์ฟเวอร์ของคุณ

    • ฉันทำสิ่งนี้อยู่แล้ว (ในกรณีทั่วไป) และจะเถียงว่าถ้าคุณต้องการ UAC บนเซิร์ฟเวอร์ คุณอาจทำผิดเพราะโดยทั่วไปแล้ว เฉพาะผู้ดูแลระบบเท่านั้นที่ควรเข้าสู่ระบบเซิร์ฟเวอร์ และพวกเขาควรรู้ว่ามันคืออะไร ทำ.

  2. จัดการการอนุญาตจากอินเทอร์เฟซที่ยกระดับ

    • cmdหน้าต่างสูงหน้าต่างPSหรืออินสแตนซ์ Explorer ทั้งหมดทำงานเพื่อหลีกเลี่ยงป๊อปอัป UAC ( Run As Administrator)

  3. จัดการสิทธิ์ NTFS จากระยะไกล

    • เชื่อมต่อผ่าน UNC จากเครื่องที่ไม่ได้เปิด UAC

  4. สร้างกลุ่มที่ไม่ใช่ผู้ดูแลระบบเพิ่มเติมที่มีสิทธิ์เข้าถึงแบบเต็มใน NTFS ACL สำหรับไฟล์และโฟลเดอร์ทั้งหมดที่คุณต้องการจัดการ และกำหนดผู้ดูแลระบบของคุณ

    • ป๊อปอัป UAC จะไม่ (ไม่ควร) ถูกทริกเกอร์ เนื่องจาก Explorer จะไม่ต้องการสิทธิ์ระดับผู้ดูแลระบบอีกต่อไป เนื่องจากให้สิทธิ์การเข้าถึงไฟล์ผ่านกลุ่มอื่นที่ไม่ใช่ผู้ดูแลระบบ

ตั้งค่านโยบายทั้งสองนี้สำหรับสมาชิกของกลุ่มผู้ดูแลระบบภายในเพื่อให้สามารถเปลี่ยนแปลงไฟล์และเชื่อมต่อกับการแชร์ของผู้ดูแลระบบได้:

ใส่คำอธิบายภาพที่นี่

จะต้องรีบูตหลังจากทำการเปลี่ยนแปลงเหล่านี้

วิธีที่ดีที่สุดคือเปลี่ยนรีจิสตรีคีย์ที่

registry::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system; key = EnableLUA

ตรวจสอบให้แน่ใจว่าได้ตั้งค่าเป็น 0 เพื่อปิดใช้งาน คุณต้องรีบูตเพื่อให้มีผล อินเทอร์เฟซอาจแสดงว่าปิดใช้งานขณะเปิดใช้งานรีจิสทรี

คุณยังสามารถปิดใช้งานโหมดการอนุมัติผู้ดูแลระบบสำหรับผู้ดูแลระบบผ่าน GPO หรือในนโยบายความปลอดภัยท้องถิ่น

Local Security Policy\Security Settings\Local Policies\Security Options\User Account Control: เรียกใช้ผู้ดูแลระบบทั้งหมดในโหมดการอนุมัติของผู้ดูแลระบบ - ปิดการใช้งาน