locked
Windows 2008 R2權限規劃問題 RRS feed

  • 問題

  • 大家好,目前在設定Windows2008 R2的目錄權限時遇到一個怪問題,那就是我有設定一個admin_group群組,裡面有帳號,並將admin_group群組加到administrators群組裡面,接著在某一個目錄只加上administrators的權限,不過卻發現這樣子admin_group裡面的帳號無法存取這個目錄,一個得把帳號直接加到administrators群組裡面才可以,請問這是怎麼一回事呢?謝謝。
    • 已編輯 Vincent Lin 2010年1月18日 上午 03:22 修改title
    2010年1月15日 上午 03:51

解答

  • 我測試了一下

    環境: Server 2008 R2 & 建立 AD 環境

    1.C槽根目錄下的某個資料夾(test)安全性權限設定只有Administrators可讀取(其它都刪除)
    2.D槽安全性權限設定只有Administrators可讀取(其它都刪除)

    將TestUser加入Admin_Group,並把Admin_Group加入Administrators裡面

    登入TestUser後..問題狀況會跟你的一模一樣

    原因:
    因為Vista之後的系統(Windows 7 , 2008 , 2008 R2)
    都有使用UAC的功能(User Access Control)

    即使你隸屬於Administrators的群組..登入時還是使用一般User的權限做登入
    等到需要使用Administrators的權限時..就會出現提示訊息(會看到一個小盾牌)
    然後做提升權限的動作..才能正常存取

    上面就是存取C:\test時發生問題的原因

    而根目錄為什麼會無法存取..可能是跟目錄安全性較高的原因

    相關討論可以參考
    [技術]如何讓一般使用者可以在 Windows Vista 的 C: 下建立檔案
    http://teacher.syset.com/viewtopic.mspx?t=4417

    windows 7是否和vista一樣,C槽根目錄的寫入權限被限制?
    http://social.technet.microsoft.com/Forums/zh-TW/windows7cht/thread/6f02c4ad-8d0e-4f4f-9558-d74a2dec0bad


    解決方法
    1.關閉UAC & 重新開機 (不過不建議..安全性比較高)
    2.根目錄的權限建議要讓User可以做讀取..在對裡面的資料夾個別設定權限就好了

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    • 已提議為解答 Vincent Lin 2010年1月18日 上午 03:37
    • 已標示為解答 Bess233 2010年1月18日 下午 02:39
    2010年1月18日 上午 03:37

所有回覆

  • 檢查一下 "admin_group" 這個群組是不是安全性群組
    如果你設定為發佈性群組的話..可能就有問題

    檢查方式
    對該群組點右鍵 - 內容 - 一般標籤底下的群組類型

    Thanks
    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2010年1月15日 上午 10:31
  • 檢查一下 "admin_group" 這個群組是不是安全性群組
    如果你設定為發佈性群組的話..可能就有問題

    檢查方式
    對該群組點右鍵 - 內容 - 一般標籤底下的群組類型

    Thanks
    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹 將盛裝出席, 要一睹風采, 就趕快報名!!

    你好,都是安全性群組,不過我上面說的狀況有點錯誤,目前的狀況是某各目錄設定administrators有權限,administrators和admin_group都加到administrators這個群組裡面,不過發現只有administrator可以存取這個目錄,admin_group裡面的帳號都無法存取,會出現存取被拒,除非把admin_group獨立出來加到目錄的權限裡面,admin_group裡面的帳號才可以進行存取,所以非常奇怪。
    2010年1月16日 下午 12:59
  • 你是透過網路芳鄰存取該資料夾? 還是直接登入本機做存取?
    如果是透過網路存取的話..先檢查一下共用權限 & 安全性權限兩個是否都設定正確

    另外..還是不行的話..測試看看其他資料夾是否有相同情形

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2010年1月16日 下午 01:15
  • 你是透過網路芳鄰存取該資料夾? 還是直接登入本機做存取?
    如果是透過網路存取的話..先檢查一下共用權限 & 安全性權限兩個是否都設定正確

    另外..還是不行的話..測試看看其他資料夾是否有相同情形

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹 將盛裝出席, 要一睹風采, 就趕快報名!!
    你好,我是登入本機測試的,目錄沒有設定共用,只有設定安全性,安全性只開放administrators,結果admin_group的帳號登入本機存取這一些目錄,有些會出現存取被拒,有些會出現你沒有權限存,按繼續之後就會強制在這個目錄上加上登入帳號的存取設定,雖然這樣就可以存取,不過總覺得2008 R2的目錄存取設定很奇怪。
    2010年1月16日 下午 01:34
  • 你設定權限的資料夾是自己建的? 還是系統內建的?

    有試過別的資料夾也會有此情形嗎?

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2010年1月17日 上午 04:29
  • 你設定權限的資料夾是自己建的? 還是系統內建的?

    有試過別的資料夾也會有此情形嗎?

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹 將盛裝出席, 要一睹風采, 就趕快報名!!
    如果是D:和E:這種根目錄的話,會出現存取被拒,如果是根目錄底下的自建目錄的話,會出現如果你想要擁有永久權限的話,請按繼續,按繼續之後就會在目錄上強制加上登入使用者的權限。
    2010年1月18日 上午 12:48
  • 在確認幾個問題..比較好幫你做測試

    1.這台Server 2008 R2是否為Domain Controller (網域控制站)?
    2.你在設定安全性權限時..是否有把裡面原本有列出來的群組都刪除?

    Thanks
    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2010年1月18日 上午 02:55
  • 我測試了一下

    環境: Server 2008 R2 & 建立 AD 環境

    1.C槽根目錄下的某個資料夾(test)安全性權限設定只有Administrators可讀取(其它都刪除)
    2.D槽安全性權限設定只有Administrators可讀取(其它都刪除)

    將TestUser加入Admin_Group,並把Admin_Group加入Administrators裡面

    登入TestUser後..問題狀況會跟你的一模一樣

    原因:
    因為Vista之後的系統(Windows 7 , 2008 , 2008 R2)
    都有使用UAC的功能(User Access Control)

    即使你隸屬於Administrators的群組..登入時還是使用一般User的權限做登入
    等到需要使用Administrators的權限時..就會出現提示訊息(會看到一個小盾牌)
    然後做提升權限的動作..才能正常存取

    上面就是存取C:\test時發生問題的原因

    而根目錄為什麼會無法存取..可能是跟目錄安全性較高的原因

    相關討論可以參考
    [技術]如何讓一般使用者可以在 Windows Vista 的 C: 下建立檔案
    http://teacher.syset.com/viewtopic.mspx?t=4417

    windows 7是否和vista一樣,C槽根目錄的寫入權限被限制?
    http://social.technet.microsoft.com/Forums/zh-TW/windows7cht/thread/6f02c4ad-8d0e-4f4f-9558-d74a2dec0bad


    解決方法
    1.關閉UAC & 重新開機 (不過不建議..安全性比較高)
    2.根目錄的權限建議要讓User可以做讀取..在對裡面的資料夾個別設定權限就好了

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    • 已提議為解答 Vincent Lin 2010年1月18日 上午 03:37
    • 已標示為解答 Bess233 2010年1月18日 下午 02:39
    2010年1月18日 上午 03:37
  • 我測試了一下

    環境: Server 2008 R2 & 建立 AD 環境

    1.C槽根目錄下的某個資料夾(test)安全性權限設定只有Administrators可讀取(其它都刪除)
    2.D槽安全性權限設定只有Administrators可讀取(其它都刪除)

    將TestUser加入Admin_Group,並把Admin_Group加入Administrators裡面

    登入TestUser後..問題狀況會跟你的一模一樣

    原因:
    因為Vista之後的系統(Windows 7 , 2008 , 2008 R2)
    都有使用UAC的功能(User Access Control)

    即使你隸屬於Administrators的群組..登入時還是使用一般User的權限做登入
    等到需要使用Administrators的權限時..就會出現提示訊息(會看到一個小盾牌)
    然後做提升權限的動作..才能正常存取

    上面就是存取C:\test時發生問題的原因

    而根目錄為什麼會無法存取..可能是跟目錄安全性較高的原因

    相關討論可以參考
    [技術]如何讓一般使用者可以在 Windows Vista 的 C: 下建立檔案
    http://teacher.syset.com/viewtopic.mspx?t=4417

    windows 7是否和vista一樣,C槽根目錄的寫入權限被限制?
    http://social.technet.microsoft.com/Forums/zh-TW/windows7cht/thread/6f02c4ad-8d0e-4f4f-9558-d74a2dec0bad


    解決方法
    1.關閉UAC & 重新開機 (不過不建議..安全性比較高)
    2.根目錄的權限建議要讓User可以做讀取..在對裡面的資料夾個別設定權限就好了

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹 將盛裝出席, 要一睹風采, 就趕快報名!!

    非常謝謝你,我會去確認看看。
    不過如果不關閉UAC的話,目錄權限該怎麼設定呢?也是設定admin_group就可以了嗎?
    2010年1月18日 上午 09:47
  • 對..給予Admin_Group有讀取權限即可

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2010年1月18日 上午 10:59
  • 對..給予Admin_Group有讀取權限即可

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹 將盛裝出席, 要一睹風采, 就趕快報名!!

    嗯,所以如果不關閉UAC的話,即使admin_group在administartors群組裡面,只有有開放administartors權限的話,admin_group帳號進行存取時,還是得進行確認的動作就是了?不過我剛剛發現即使帳號直接加到administrators群組裡面,好像除了administrator之外的手動建立帳號都還是會出現確認的視窗,所以還是有點奇怪。

    一直忘記說,我這一台主機是DC沒有錯。
    2010年1月18日 上午 11:19
  • 我指的給Admin_Group讀取權限是解決 D E槽存取被拒的問題
    至於確認的動作只要是UAC打開還是會存在...因為需要提升權限

    另外..Administrator這個帳號是不會受到UAC影響的..是唯一一個例外的帳號

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2010年1月18日 下午 02:18
  • 我指的給Admin_Group讀取權限是解決 D E槽存取被拒的問題
    至於確認的動作只要是UAC打開還是會存在...因為需要提升權限

    另外..Administrator這個帳號是不會受到UAC影響的..是唯一一個例外的帳號

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹 將盛裝出席, 要一睹風采, 就趕快報名!!

    我了解了,謝謝您的細心回答。
    2010年1月18日 下午 02:39