Игнорируются разрешения группы "Администраторы"
 

Привожу слова человека с другого форума о Win8:

"Есть группа "Администраторы" - родная. Есть пользовтаель "Admin" с ролью Администратор, член группы "Администраторы". Есть папка, на которую я ставлю полный доступ для группы "Администраторы".

При попытке войти в неё, я получаю следующее сообщение:
Код:
[Window Title]
System

[Main Instruction]
У вас нет разрешений на доступ к этой папке.

[Content]
Чтобы получить постоянный доступ к этой папке, нажмите кнопку "Продолжить".

[Продолжить] [Отмена]



Если нажать кнопку "Продолжить", в список разрешений будет добавлен пользователь "Admin". Такое впечатление, что разрешение для группы просто игнорируются.

Контроль учётных записей (UAC) естественно передвинут в нижнее положение. Возможно, этого недостаточно, чтобы отключить его в Win8? Подскажите - как решить данную проблему? Сделать так, чтобы разрешения на группу применялись к пользователю, и не задавались всевозможные глупые вопросы.

(Аналогичая ситуация возникла при попытке сохранить torrent в эту папку. Только там мне даже не дали возможности сохранить - просто послали и предложили сохранить в "Загрузки")."

В моём случае имеем домен на WS 2012 и группу серверов(членов домена) на нём же. Если создаю папку от имети дефолтного админа домена (на любом из серверов или DC) и даю ей права только для группы администраторов (доменнной или локальной), то дефолтный админ заходит без проблем (как я понимаю, потому что он владелец), а вот с другим пользователем (пусть будет Admin2) из группы админов происходит вышеописанноя ситуация. Причем, если к папке предоставить доступ для какой нибудь другой групы и включить Admin2 в эту группу, то проблема снимается. Получается какой-то ограниченный доступ для членов группы администраторы, Кто нибудь может просветить, что это за ерунда и как с ней бороться.
PS. С сетевым доступом никаких проблем нет.

Да, этого недостаточно (еще нужно EnableLUA = 0 выставить).
Windows Server 2012: Deactivating UAC

Несмотря на членство в группе Администраторы, при включенном UAC учетная запись имеет access token группы Пользователи.

Спасибо огромное. Сработало.

Не удержался. "Неестественно", блин =/ Пожалуйста, блин, не ковыряйте кривыми руками везде где под руку подвернется. UAC на сервере отключить = это уже не ваш сервер (да, возможно когда-нибудь, но вы об этом вряд ли узнаете вовремя или вообще, если такое произойдет... если вообще узнаете... FUUU! )

Ну всех тонкостей UAC я не знаю конечно. Но насколько я с этой функцией знаком, то основное назначение это защита учетки админа при работе локально на компе, например, для домашних пользователей, которые работают под админовскими учетками. Ну вот точно с чем я не согласен так это с "это уже не ваш сервер ...". Если злоумышленику попадут учетные данные админа, он не будет лезть к серваку локально или консольно, по rdp или, скажем, radmin'ом. А в сетевом доступе никакой UAC его тогда не остановит. А вот он этот самый UAC остановит в два счета. И в данном случае сервер, что с включеным UAC, что с выключеным, уже не ваш.

pilligrimm, UAC - полный аналог root'a в *никсах. Никто не сидит под рутом - это аксиома, отключение UAC дает права рута любому админу и частично группе Продвинутые пользователи. Если я зайду по RDP на сервер под учеткой доменного админа и попытаюсь прописать что-то в Local Machine, в %systemroot% или поставить драйвер - запрос UAC вылезет(sudo, да). Если не вылезет - повод для конкретной проверки по всем фронтам и смены паролей. Пользователь сидящий на терминал-сервере с выключенным UAC заходит на сайт с шестью эксплойтами и все 6 пытаются отработать по поводу дырок в браузере, ОС, флеше, акробат ридере, яве - и никто об этом не узнает.

Согласен. У меня в домене админовские права имеет, только сисадмин. И только он имеет право сидеть на сервере локально или терминально под админовской учеткой. И если он, мягко говоря, не в себе, то никакие UAC-и его не остановят. Тут надо разбираться с сисадмином. В данном случае эффект от UAC стремится к нулю.

А кто мешает сделать это в сетевом доступе? И UAC даже не крякнет. Опять эффект - ноль.

ПОЗДНО! Поздно пить боржоми. Уже случилось. Кроме смены паролей, надо ещё прошерстить всю систему на предмет руткитов, эксплоитов и т.п., иначе смена паролей ни к чему не приведёт. И ещё не факт, что после этой чистки система будет девственной. Эффект - 0

На то он и Пользователь, чтоб сидеть с правами пользователя, и UAC ему как мертвому припарки. Если пользователя останавливает, точнее пытается остановить, только UAC, то гоните в шею своего сисадмина и меняйте сервера. Потому что уже тоже поздно. Эффект...

Кстати, работали и до сих пор работают сервера на 2003-м. Без всякого UAC. И никто не жалуется что они "уже не наши". Всё зависит от квалификации админа. Поэтому первое правило, не брать на работу "студентов", чтоб дешевле было. А если и брать, то под чуткую опеку квалифицированного админа, чтоб он рассказал, показал, научил и проконтролировал.

И так, мое мнение все таки, что UAC в помощь пользователям, которые сидят на своих компах под админовскими учетками (читай - домашние пользователи), что в корпоративной среде не допустимо. И UAC фича которая досталась Серверу в наследство от Win 7/8, по принципу "хуже не будет".

pilligrimm, напомнило одного бывшего приятеля - спрашиваю "Чего не пристегиваешься?"... "Да неудобно нафиг и вообще это для лохов" :)

P.S. Сегодня саппорт одного банка требовал чтобы наши юзеры их банк-клиента сидели только под админами (главбух с доступом в инет под админом? оО). Послал их нафиг, решил через UAC. Обрисовал ситуевину, начальство думает (надеюсь, над сменой банка и заодно лохов, которые там программируют).

Вон оно чего!!! А я блин смотрю на разрешения для группы Администраторы, а потом на разрешения для Администратора и не пойму що че таке....

Так не было и нет.
1. UAC не является Securty Boundary;
2. Администратор должен применять учётную запись с повышенными привилегиями только по доказанной необходимости, в остальное время работая со стандартной учётной записью. В этих (нормальных) условиях UAC только мешает нормально работать и должен быть отключен.

У меня такая же ситуация, как и у автора темы, только на Windows Server 2016. Как всё же настроить доступ пользователям группы Администраторы к папкам, не отключая UAC?

Запускаем regedit, в ветке "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" находим параметр "EnableLUA", по умолчанию, он равен 1, ставим значение 0, и перезагружаем компьютер.

gadjet84, вопрос был: Вы же предлагаете его отключить...

Iwan777, создайте группу, скажем, "Admins", включите в неё тех пользователей, которые должны иметь полный доступ к этим папкам, а на нужные папки дайте этой группе полные (или какие вам нужно) права.