L'utilisateur du groupe d'administrateurs du domaine ne peut pas accéder au répertoire auquel le groupe est autorisé à accéder

15

J'ai rencontré un problème plutôt intéressant en jouant avec l'un de mes laboratoires de domaine.

Il y a un répertoire sur un serveur de fichiers 2008 R2 qui est utilisé pour la redirection de dossiers pour tous les utilisateurs de l'unité d'organisation "Personnel". Le répertoire dispose des autorisations suivantes:

  • FILESERVER \ Administrators: autorise un contrôle total sur le répertoire, les sous-répertoires et les fichiers
  • DOMAIN \ Domain Admins: autorisez un contrôle total sur le répertoire, les sous-répertoires et les fichiers
  • Utilisateurs authentifiés: autorisez la création de fichiers, la création de dossiers, l'écriture d'attributs et l'écriture d'attributs étendus dans le répertoire supérieur uniquement

En outre, le répertoire est également un partage réseau avec "Autoriser le contrôle total" sur le groupe Utilisateurs authentifiés.

Lorsque l'utilisateur john.doe, membre du groupe d'administrateurs de domaine, essaie d'accéder au répertoire à partir du serveur de fichiers, il obtient l'erreur "Vous n'avez actuellement pas l'autorisation d'accéder à ce dossier". Essayer d'accéder au partage réseau à partir du même serveur entraîne également une erreur d'autorisation refusée (bien que l'utilisateur puisse toujours accéder à son propre répertoire dans le partage).

L'accès au partage à partir d'un autre ordinateur connecté en tant que même utilisateur permet l'accès tel qu'il est configuré.

La seule façon d'accéder aux fichiers du répertoire lorsque vous êtes connecté au serveur de fichiers consiste à ouvrir une invite de commande élevée. Le contrôle de compte d’utilisateur est désactivé pour tous les ordinateurs du domaine via la stratégie de groupe (exécuter tous les administrateurs en mode d’approbation d’administrateur est activé et le comportement par défaut est défini sur élévation sans invite).

Toutes les routes indiquent que l'utilisateur est autorisé à accéder, mais il est toujours refusé. Des idées?

windows  active-directory  permissions 
EnglishInfix
source
Y a-t-il des ACE de refus dans la liste de contrôle d'accès?
Shane Madden
Aucune autorisation de refus n'est définie dans la liste de contrôle d'accès pour le répertoire pour tout groupe ou utilisateur.
EnglishInfix

Réponses:

13

C'est par conception. UAC supprime les informations d'identification d'administrateur de tout processus non élevé. Si vous essayez d'utiliser un processus non élevé pour accéder à un partage distant en utilisant uniquement les informations d'identification d'administrateur, UAC supprimera les informations d'identification d'administrateur du jeton de sécurité du processus et le processus recevra une erreur "accès refusé".

Pour y remédier, vous pouvez:

  1. N'utilisez pas les informations d'identification d'administrateur pour sécuriser le dossier (créez un groupe générique uniquement à cette fin), ou

  2. Désactivez l'UAC sur le serveur de fichiers (non recommandé), ou

  3. Activez la clé de registre suivante sur le serveur de fichiers pour désactiver uniquement cette partie de l'UAC.

Plus d'informations: Description du contrôle de compte d'utilisateur et des restrictions à distance dans Windows Vista

John Homer
source
Je viens donc de remarquer que cela date de mai dernier. Je ne sais pas pourquoi il est apparu dans mon flux RSS ce matin ...
John Homer
John, je suis heureux de modifier ma réponse et de vous voter, mais je voulais en être sûr. L'article de la base de Domain user accountsconnaissances se lit "bizarre", sous la section, comme s'il n'avait aucune incidence. L'OP a déclaré qu'il se trouvait sur le serveur de fichiers accédant aux lecteurs locaux et au chemin UNC directement depuis le serveur. Je n'ai pas de moyen rapide (mais je pourrais le cas échéant) tester la clé de contrôle, mais je demande simplement si vous êtes certain que cela résoudra le problème exactement comme l'OP décrit et pas seulement pour l'accès au chemin UNC distant.
TheCleaner
J'ai rencontré ce problème à plusieurs reprises. L'accès local à un partage est le même processus qu'un partage distant. Il utilise toujours le redirecteur UNC pour accéder au dossier et serait soumis au même comportement. Je suppose que la machine distante était une version plus ancienne (non UAC) de Windows. Malheureusement, OP n'a pas fourni cette information. Juste en me basant sur les informations qu'il a fournies (en particulier sur la nécessité d'élever pour que cela fonctionne correctement), je pense que c'est le problème.
John Homer
Oui, compris, mais il a déclaré qu'il avait d'abord essayé le lecteur local (pas de partage) puis le partage UNC. Mais je m'égare ... Je vais modifier mon message et voter pour le vôtre ... Je n'ai aucune raison de ne pas faire confiance à votre réponse.
TheCleaner
La clé de registre n'a PAS fonctionné pour moi, même après le redémarrage. La désactivation de l'UAC n'a pas fonctionné non plus. Seul le groupe générique a fonctionné pour moi.
skinneejoe
10

L'UAC supprime les informations d'identification d'administrateur de domaine sur le serveur lui-même, cela fait partie du fonctionnement de l'UAC (stupidement IMO). Une option consiste à désactiver complètement l'UAC sur le serveur pour ne pas recevoir l'invite «Vous n'avez actuellement pas l'autorisation d'accéder à ce dossier».

EDIT: voici un exemple de thread btw: http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/9061bc1c-42ea-47ed-8c7d-56b07139fb86/

EDIT2: La réponse de John ci-dessous pourrait être exactement ce que vous recherchez. Essayez-le et faites un rapport si vous le pouvez.

Le nettoyeur
source
5
Une autre option consiste à ajouter une ACL au dossier d'un autre groupe dont l'utilisateur est membre, avec les autorisations appropriées.
Greg Askew
Désolé TheCleaner, mais vous vous trompez. Vous n'avez pas besoin de désactiver l'UAC pour que cela fonctionne. Il existe une clé de registre (LocalAccountTokenFilterPolicy) qui désactive uniquement cette partie de l'UAC. Plus d'informations ici: support.microsoft.com/kb/951016
John Homer
@JohnHomer - voir mon commentaire dans votre réponse. Je vais modifier ma réponse comme une possibilité, mais souligner et voter également la vôtre, si vous êtes certain que l'article de la base de connaissances s'applique également aux problèmes de lecteur de serveur local que l'OP décrit.
TheCleaner
-1

La meilleure façon est de changer la clé de registre à 

registry::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system; key = EnableLUA
  • Assurez-vous qu'il est défini sur Valeur 0 pour désactiver
  • Vous devez redémarrer pour qu'il prenne effet.
  • L'interface peut l'afficher comme désactivé lorsque le registre est activé
Ben
source
3
Les clés de stratégie ne sont pas censées être définies manuellement. Ils sont utilisés par la gestion des stratégies de groupe pour stocker les paramètres. Plus d'infos: technet.microsoft.com/en-us/library/cc962657.aspx
John Homer
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.