Права пользователей в NTFS Windows Server 2008 R2?

Question

[zodiac]

Добрый день.

Если в Windows Server 2008 R2 учетной записью с администраторскими правами у диска, допустим, K:\, убрать из доступа группу «пользователей», а у группы «администраторы» оставить права полного доступа, то моя учетная запись теряет возможность доступа к этому диску. Почему так получается, если я состою в группе «администраторы»?

Answer 1

[amc]

Почему — потому что UAC.
Почему — потому что в работаете в учетке которой присвоены права администратора, хотя работать должны под простой, не делегированной учеткой.
Почему — потому что если нужно рулить правами — создаёте группу, закидываете туда кого надо и на эту группу выдаёте разрешение FULL CONTROL. В итоге можно и правами рулить будет из под обычной учетки, и угроз безопасности меньше (т.к. не админские права), и удобнее (надо чтобы менеджер Вася тоже рулил — просто добавь его в группу). Ну и на крайней случай всегда останется Администратор.

Answer 2

[ComputerPers]

Чем он извращенный? Самый стандартный вариант.

Смотрите рекомендации MS по назначению прав на ресурсы

Comments

[zodiac]

Тем, что придется дублировать группу «Администраторы».

Answer 3

[ComputerPers]

Если проблема локально, на сервере, то это фишка Windows 2008 — запрет доступа к корню диска.
Если вы запустите консоль так чтобы сверху было «Администратор: » и попробуете создать файл то у вас всё получиться.

При этом, если вы расшарите этот диск и войдете через сеть — то доступ будет сразу!

Comments

[zodiac]

Если запускать PS от имени администратора, тогда будет и доступ к самому диску, но если таким же образом запускать explorer, то доступа не будет.

А чем отличается обычный запуск и запуск от админа, если у пользователя и так есть права администратора?

[RuJet]

это фишка вызвана UAC — контроль учетных записей.

[zodiac]

И смысл такого поведения у UAC?

[ComputerPers]

Смысл мы вам раскрыть не сможем, только решение.

[Иван Тихонов]

Защита от вирусов и прочей дребедени, чтобы Administrator не запустил чего лишнего. В отличие от root, ему система не шибко доверяет) так что или отключать UAC, или явно с админискими правами запускать. Кстати UAC некоторую заразу все равно пропускает, так что от него больше неудобств, чем пользы, если руки прямые, ИМХО.

[zodiac]

ComputerPerss, а можно это сделать без полного отключения UAC?

[zodiac]

polym0rph, ну самому «Администратору» вроде доверяет)

[ComputerPers]

Если Вы хотите иметь доступ к корню диска всегда и не через пользователей — то создайте локальную группу, поместите туда свою УЗ и дайте этой группе права на запись корня диска.

[zodiac]

Так и делал, но этот вариант какой-то извращенный. Хотел использовать стандартную группу.

[Иван Тихонов]

2 zodiac нет, не доверяет. Зайдите под админом и запустите консоль, задачи, для которых нужны административные права в ней могут не отработать, проверено. А вот если по тому же значку хлопнуть парвой кнопкой и запустить от администратора- то легко. И не только с консолью так.