Я искал вокруг этого, и все, что я могу найти, это обычные вопросы типа «я администратор, но мне нужно поднять». Это не совсем то же самое.
У меня есть диск D на файловом сервере (2008 r2 и та же проблема с его настройкой на 2012 год) с папкой, доступной пользователям. У каждого есть доступ ко всему общему диску через сеть, кроме нескольких папок, к которым могут иметь доступ только определенные группы.
Я настроил это так, чтобы эти конкретные подпапки перестали наследовать разрешения и просто давали полный доступ к рассматриваемым группам (ничего общего с администраторами). У меня есть пользователь домена, который является членом группы операторов резервного копирования и всех локальных групп операторов резервного копирования на каждой машине в домене (устанавливается через объект групповой политики). Этот пользователь используется для запуска программы синхронизации файлов, чтобы каждую ночь синхронизировать файловый ресурс с NAS для резервного копирования. Это программное обеспечение также работает на данном компьютере, а не удаленно.
Я дал пользователю возможность интерактивного входа в систему, чтобы я мог настроить программное обеспечение под этой учетной записью и проверить, работает ли резервная копия, прежде чем я создам для нее запланированное задание.
Изначально проблема заключалась в том, что программному обеспечению не удалось получить доступ к более защищенным папкам, что, насколько я знал, было невозможно с операторами резервного копирования. Поэтому вместо этого я явно добавил группу операторов резервного копирования в разрешения для этой папки с полным доступом - та же ошибка. Таким образом, используя проводник, я пошел, чтобы найти соответствующие папки - и обратите внимание, что я не работаю как администратор, однако, несмотря на это, окна попросили меня поднять.
Теперь возникает вопрос: почему же учетная запись без прав администратора требует токен администратора для доступа к папке, к которой у нее есть полные разрешения (через операторов группового резервного копирования)? Это не системная папка или системный диск, это просто обычный диск, под кучей обычных папок с некоторыми более жесткими ограничениями.
Я действительно не понимаю, почему UAC даже нужен в этом случае - это не имеет никакого отношения к администраторам!
Спасибо
РЕДАКТИРОВАТЬ:
Разрешения на папки в соответствии с запросом комментария:
C:\Windows\system32>icacls "d:\share\support\tech documents"
d:\share\support\tech documents
QUT\access tech docs:(OI)(CI)(F)
QUT\Domain Admins:(OI)(CI)(F)
BUILTIN\Backup Operators:(OI)(CI)(F)
Successfully processed 1 files; Failed processing 0 files
C:\Windows\system32>icacls "d:\share\support"
d:\share\support BUILTIN\Administrators:(F)
Everyone:(I)(OI)(CI)(M)
BUILTIN\Backup Operators:(I)(OI)(CI)(F)
QUT\Enterprise Admins:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(F)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
QUT\Domain Admins:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
BUILTIN\Users:(I)(OI)(CI)(RX)
BUILTIN\Users:(I)(CI)(S,AD)
BUILTIN\Users:(I)(CI)(S,WD)
Successfully processed 1 files; Failed processing 0 files
Папка над рассматриваемой папкой просто наследует разрешения, у технических документов отключено наследование и установлены явные разрешения.