Thông tin cơ bản: Tài khoản quản trị của người dùng chính cần quyền truy cập không hạn chế vào thư mục trên máy chủ.

-> anh ấy đang làm việc trên máy chủ theo RDP hoặc trực tiếp với thư mục (được chia sẻ)

Cho biết tài khoản quản trị nằm trong nhóm bảo mật miền có tên là xyz, tôi đã thêm nhóm xyz vào nhóm quản trị viên cục bộ trên máy chủ.

Tuy nhiên, nó có vẻ hoạt động khác nếu tôi thêm xyz vào quyền NTFS (toàn quyền) hoặc quản trị viên cục bộ có xyz bên trong (toàn quyền).

Những gì họ cần là hành vi của xyz được thêm vào một cách riêng biệt, nhưng tại sao điều này lại hoạt động khác một chút?

Hành vi này có vẻ khác trên máy chủ windows 2012R2, nơi nó không tạo ra bất kỳ sự khác biệt nào theo như tôi nhớ.

answer

Để giải thích một chút về câu trả lời Gregs ở cấp độ cao, UAC lọc ra mã thông báo truy cập quản trị viên của người dùng . Vì vậy, nếu bạn cấp cho nhóm Quản trị viên quyền truy cập đầy đủ, người dùng là thành viên của nhóm đó sẽ không có mã thông báo đó trừ khi được thêm rõ ràng bằng cách đồng ý vào hộp thoại UAC. Nếu bạn cấp cho nhóm xyz toàn quyền truy cập, thì tài khoản người dùng của bạn có mã thông báo đó và do đó có cùng quyền.

Vì vậy, bạn sẽ phải làm gì để nhận được mã thông báo? Chạy explorer.exe hoặc cmd.exe (hoặc bất kỳ ứng dụng nào bạn đang sử dụng) với tư cách quản trị viên. Điều này sẽ tạm thời thêm mã thông báo truy cập vào quy trình. Hoặc hủy kích hoạt UAC, nhưng điều đó không lý tưởng.

Đây là hành vi được mong đợi với Kiểm soát tài khoản người dùng. Không có bất kỳ sự khác biệt nào giữa 2012 R2 và 2019.