Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   [решено] Разрешения NTFS. Доменная учетка и лок.админ. (http://forum.oszone.net/showthread.php?t=268821)

AsvComp 26-09-2013 14:10 2224349
Разрешения NTFS. Доменная учетка и лок.админ.
 
Есть рядовой сервер 2008R2, добавлен в домен.
Установлены апдейты, поднята роль IIS. В папку c:\inetpup\wwwroot помещен архив. Далее наблюдается следующая картина:
  • Если зайти на сервер с помощью учетной записи, входящей в группу Domain admins, то архив не распаковывается - Can't create folder. Access denied. Также в папке inetpub нельзя создать ничего, кроме папки и то, только от админа.
  • Если зайти на сервер с помощью учетки лок.админа, то все ок. Архив распаковывается, файлы создаются и пр.
Подобная ситуация наблюдается и с другими папками.
Почему система "не видит", что доменная учетка, с помощью которой выполнен вход, состоит в группе Domain admins, которая, в свою очередь, входит в группу Administrators на машине?

exo 26-09-2013 14:31 2224364
Цитата:
Цитата AsvComp
Также в папке inetpub нельзя создать ничего, кроме папки и то, только от админа »
стандартная настройка безопасности от IIS.

AsvComp 26-09-2013 15:19 2224392
Это наблюдается в целом в системе, не только применительно к папке inetpub, а к папкам на диске вообще.
Если зайти под доменной учеткой, входящей в группу Domain admins, то в корне С:\ можно создать только папку, в этой папке можно создать только другую папку, но не файл и т.д.
А если зайти локально админом, то пожалуйста - доступно создание файлов хоть прям в корне С:\

exo 26-09-2013 15:24 2224396
Цитата:
Цитата AsvComp
Если зайти под доменной учеткой, входящей в группу Domain admins, то в корне С:\ можно создать только папку, в этой папке можно создать только другую папку, но не файл и т.д. »
всё правильно и стандартно. только папку в корне диска С. А в ней - уже что угодно. Странно, что у вас не даёт создать файл в созданной папке.

почему есть разница с лок админом - пока не ясно. но думаю, стандартная конфигурация.

AsvComp 26-09-2013 16:26 2224424
Еще более странно то, что если посмотреть на действующие разрешения на папку для доменной учетной записи, той, что входит в группу Domain admins, то у нее будет Full control, при этом, создавать можно только папку.
Поскольку пришлось на проблемной машине решать проблему быстро - сделал через... не красиво, в общем. Я сменил владельца и дал нужным пользователям необходимые им права.
Сейчас моделирую ситуацию на тестовой виртуалке.

Petya V4sechkin 26-09-2013 17:52 2224466
AsvComp, UAC включен?
Цитата:
с помощью учетной записи, входящей в группу Domain admins
Пуск -> в поле поиска lusrmgr.msc -> Группы -> Администраторы -> убедитесь, что в списке есть Domain Admins.

AsvComp 27-09-2013 09:47 2224725
Petya V4sechkin, гм.. А в серверной ОС есть UAC? Посмотрел, оказалось есть :)
Убедился, Domain admins есть в группе Administrators.
Отключил UAC, перегрузил сервер. Вуаля! Можно создавать файлы в корне и на С:\ и на D:\
До этого проверял так:
Заходил под учеткой лок. админа - создание файлов в корне дисков доступно
Заходил под учеткой доменного админа - создание файлов в корне дисков не доступно
Отключил UAC - стало доступным создание файлов.
Спасибо!


Время: 09:37.

Время: 09:37.
© OSzone.net 2001-