У меня есть сервер Windows 2008 R2 (64-разрядный), который не является частью домена, где пользователь, который входит в группу администраторов, начал получать сообщение об отказе в доступе после изменения пароля пользователя. Windows будет нормально загружаться и отображать рабочий стол, но любая попытка открыть другой экземпляр Проводника Windows или Панели управления или что-либо в каталоге c:\Windows приведет к отказу в доступе.
Глядя на разрешения «c:\Windows», оказалось, что администраторы не имеют прав. Я наконец смог использовать RunAsTI64 для запуска приглашения cmd.exe с разрешениями доверенного установщика. Эта конкретная учетная запись смогла запустить новые экземпляры проводника, а также успешно запустить icacls для добавления прав администратора обратно в каталог «c:\windows».
Однако даже после повторного добавления разрешений, когда казалось, что группа «Администраторы» должна иметь полный контроль над каталогом, я продолжал получать ошибки об отказе в доступе, за исключением случаев, когда выполнялись учетные данные доверенного установщика. Я уже пробовал включать и выключать UAC. Мне кажется, что это какая-то ошибка в Windows. Есть ли патч, который может исправить это поведение? (Я не знаю, был ли компьютер полностью обновлен Windows Updates). Существуют ли другие параметры групповой политики / безопасности, которые могут применяться?
Похоже, что одно частичное исправление - просто сбросить пароль пользователя обратно к исходному паролю. После этого пользователь волшебным образом восстанавливает доступ ко всему. Это не решает вопрос о том, как изменить пароль.