[Petya V4sechkin]

Цитата pilligrimm:

Контроль учётных записей (UAC) естественно передвинут в нижнее положение. Возможно, этого недостаточно

Да, этого недостаточно (еще нужно EnableLUA = 0 выставить).
Windows Server 2012: Deactivating UAC

Цитата pilligrimm:

(пусть будет Admin2) из группы админов происходит вышеописанноя ситуация

Несмотря на членство в группе Администраторы, при включенном UAC учетная запись имеет access token группы Пользователи.

[pilligrimm]

Спасибо огромное. Сработало.

[winbond]

Цитата pilligrimm:

Контроль учётных записей (UAC) естественно передвинут в нижнее положение »

Не удержался. "Неестественно", блин =/ Пожалуйста, блин, не ковыряйте кривыми руками везде где под руку подвернется. UAC на сервере отключить = это уже не ваш сервер (да, возможно когда-нибудь, но вы об этом вряд ли узнаете вовремя или вообще, если такое произойдет... если вообще узнаете... FUUU! )

[pilligrimm]

Цитата winbond:

»Не удержался. "Неестественно", блин =/ Пожалуйста, блин, не ковыряйте кривыми руками везде где под руку подвернется. UAC на сервере отключить = это уже не ваш сервер (да, возможно когда-нибудь, но вы об этом вряд ли узнаете вовремя или вообще, если такое произойдет... если вообще узнаете... FUUU! )[/post]

Ну всех тонкостей UAC я не знаю конечно. Но насколько я с этой функцией знаком, то основное назначение это защита учетки админа при работе локально на компе, например, для домашних пользователей, которые работают под админовскими учетками. Ну вот точно с чем я не согласен так это с "это уже не ваш сервер ...". Если злоумышленику попадут учетные данные админа, он не будет лезть к серваку локально или консольно, по rdp или, скажем, radmin'ом. А в сетевом доступе никакой UAC его тогда не остановит. А вот он этот самый UAC остановит в два счета. И в данном случае сервер, что с включеным UAC, что с выключеным, уже не ваш.

[winbond]

pilligrimm, UAC - полный аналог root'a в *никсах. Никто не сидит под рутом - это аксиома, отключение UAC дает права рута любому админу и частично группе Продвинутые пользователи. Если я зайду по RDP на сервер под учеткой доменного админа и попытаюсь прописать что-то в Local Machine, в %systemroot% или поставить драйвер - запрос UAC вылезет(sudo, да). Если не вылезет - повод для конкретной проверки по всем фронтам и смены паролей. Пользователь сидящий на терминал-сервере с выключенным UAC заходит на сайт с шестью эксплойтами и все 6 пытаются отработать по поводу дырок в браузере, ОС, флеше, акробат ридере, яве - и никто об этом не узнает.

[pilligrimm]

Цитата winbond:

Если я зайду по RDP на сервер под учеткой доменного админа и попытаюсь прописать что-то в Local Machine, в %systemroot% или поставить драйвер - запрос UAC вылезет(sudo, да)

Согласен. У меня в домене админовские права имеет, только сисадмин. И только он имеет право сидеть на сервере локально или терминально под админовской учеткой. И если он, мягко говоря, не в себе, то никакие UAC-и его не остановят. Тут надо разбираться с сисадмином. В данном случае эффект от UAC стремится к нулю.

Цитата winbond:

и попытаюсь прописать что-то в Local Machine, в %systemroot% или поставить драйвер - запрос UAC вылезет

А кто мешает сделать это в сетевом доступе? И UAC даже не крякнет. Опять эффект - ноль.

Цитата winbond:

Если не вылезет - повод для конкретной проверки по всем фронтам и смены паролей

ПОЗДНО! Поздно пить боржоми. Уже случилось. Кроме смены паролей, надо ещё прошерстить всю систему на предмет руткитов, эксплоитов и т.п., иначе смена паролей ни к чему не приведёт. И ещё не факт, что после этой чистки система будет девственной. Эффект - 0

Цитата winbond:

Пользователь сидящий на терминал-сервере с выключенным UAC заходит на сайт с шестью эксплойтами и все 6 пытаются отработать по поводу дырок в браузере, ОС, флеше, акробат ридере, яве - и никто об этом не узнает.

На то он и Пользователь, чтоб сидеть с правами пользователя, и UAC ему как мертвому припарки. Если пользователя останавливает, точнее пытается остановить, только UAC, то гоните в шею своего сисадмина и меняйте сервера. Потому что уже тоже поздно. Эффект...

Кстати, работали и до сих пор работают сервера на 2003-м. Без всякого UAC. И никто не жалуется что они "уже не наши". Всё зависит от квалификации админа. Поэтому первое правило, не брать на работу "студентов", чтоб дешевле было. А если и брать, то под чуткую опеку квалифицированного админа, чтоб он рассказал, показал, научил и проконтролировал.

И так, мое мнение все таки, что UAC в помощь пользователям, которые сидят на своих компах под админовскими учетками (читай - домашние пользователи), что в корпоративной среде не допустимо. И UAC фича которая досталась Серверу в наследство от Win 7/8, по принципу "хуже не будет".

[winbond]

pilligrimm, напомнило одного бывшего приятеля - спрашиваю "Чего не пристегиваешься?"... "Да неудобно нафиг и вообще это для лохов"

P.S. Сегодня саппорт одного банка требовал чтобы наши юзеры их банк-клиента сидели только под админами (главбух с доступом в инет под админом? оО). Послал их нафиг, решил через UAC. Обрисовал ситуевину, начальство думает (надеюсь, над сменой банка и заодно лохов, которые там программируют).

[Stirlits]

Вон оно чего!!! А я блин смотрю на разрешения для группы Администраторы, а потом на разрешения для Администратора и не пойму що че таке....

[WindowsNT]

Цитата winbond:

UAC на сервере отключить = это уже не ваш сервер »

Так не было и нет.
1. UAC не является Securty Boundary;
2. Администратор должен применять учётную запись с повышенными привилегиями только по доказанной необходимости, в остальное время работая со стандартной учётной записью. В этих (нормальных) условиях UAC только мешает нормально работать и должен быть отключен.