L'utente nel gruppo di amministratori di dominio non può accedere alla directory a cui il gruppo ha l'autorizzazione ad accedere

Ho riscontrato un problema piuttosto interessante giocando con uno dei miei laboratori di dominio.

Esiste una directory su un file server 2008 R2 che viene utilizzata per il reindirizzamento delle cartelle per tutti gli utenti nell'unità organizzativa "Staff". La directory ha le seguenti autorizzazioni impostate:

• FILESERVER \ Administrators: consente il pieno controllo della directory, delle sottodirectory e dei file
• DOMAIN \ Domain Admins: consente il pieno controllo della directory, delle sottodirectory e dei file
• Utenti autenticati: consente di creare file, creare cartelle, scrivere attributi e scrivere attributi estesi solo nella directory principale

Inoltre, la directory è anche una condivisione di rete con "Consenti controllo completo" al gruppo Utenti autenticati.

Quando l'utente john.doe, un membro del gruppo amministratori di dominio, tenta di accedere alla directory dal file server, viene visualizzato l'errore "Attualmente non si dispone dell'autorizzazione per accedere a questa cartella". Il tentativo di accedere alla condivisione di rete dallo stesso server comporta anche un errore di autorizzazione negata (sebbene l'utente possa comunque accedere alla propria directory all'interno della condivisione).

L'accesso alla condivisione da un altro computer connesso come lo stesso utente consente l'accesso come configurato.

L'unico modo per accedere ai file nella directory durante l'accesso al file server è aprire un prompt dei comandi con privilegi elevati. Controllo dell'account utente è disabilitato per tutti i computer nel dominio tramite Criteri di gruppo (Esegui tutti gli amministratori in modalità Approvazione amministratore abilitata e il comportamento predefinito impostato su eleva senza richiedere conferma).

Tutte le strade indicano all'utente l'accesso, ma viene comunque negato. Qualche idea?

Questo è di progettazione. Controllo dell'account utente elimina le credenziali di amministratore da qualsiasi processo non elevato. Se si sta tentando di utilizzare un processo non elevato per accedere a una condivisione remota utilizzando solo le credenziali di amministratore, UAC eliminerà le credenziali di amministratore dal token di sicurezza del processo e il processo riceverà un errore di "accesso negato".

Per porre rimedio a questo è possibile:

1. Non utilizzare le credenziali di amministratore per proteggere la cartella (creare un gruppo generico solo per questo scopo) o

2. Disabilitare UAC sul fileserver (non consigliato) o

3. Abilitare la seguente chiave di registro sul file server per disabilitare solo questa parte di Controllo dell'account utente.

Ulteriori informazioni: Descrizione del controllo dell'account utente e restrizioni remote in Windows Vista

Controllo account utente sta rimuovendo le credenziali di amministratore di dominio sul server stesso, fa parte del modo in cui funziona UAC (stupidamente IMO). Un'opzione è disabilitare UAC sul server completamente per non ricevere il prompt "Attualmente non disponi delle autorizzazioni per accedere a questa cartella".

EDIT: ecco un esempio di thread tra: http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/9061bc1c-42ea-47ed-8c7d-56b07139fb86/

EDIT2: La risposta di John qui sotto potrebbe essere esattamente quello che stai cercando però. Provalo e segnala se puoi.

Il modo migliore è cambiare la chiave di registro in

registry::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system; key = EnableLUA

• Assicurarsi che sia impostato su Valore 0 per disabilitare
• È necessario riavviare per rendere effettivo.
• L'interfaccia potrebbe mostrarlo come disabilitato mentre il registro è abilitato