サーバー上の単一のアカウントに対して「管理者承認モード」を無効にすることは可能ですか?
Console-appは、ドメイン内の単一のサーバーで実行され、アクティブではなくなったユーザーのホーム領域の一部を削除する役割を果たします。これらのホームエリアは、ネットワーク全体に広がる50以上の異なるサーバー上にあります。
アカウントは、関連するフォルダーへの「フルコントロール」アクセス権を持つ各ストレージサーバーのローカル管理者グループのメンバーでもあるアカウントのコンテキストで実行されます。
これは、多くの古いサーバーでうまく機能しますが、Windows 2008では問題が発生します。これらのサーバーでは、「ローカル管理者」グループに対して「管理者承認モード」が有効になっています。
たとえば、フォルダーを右クリックしてプロパティ/セキュリティにアクセスしようとすると(同じサービスアカウントを使用)、次のプロンプトが表示されます。
[続行]を押してから、フルコントロールのアクセス許可の使用に進むことができます。ファイルを削除するときにも同じようにすると、意図したとおりに機能します。
ユーザーごと/サーバーごとにこれを無効にすることは可能ですか?それで、他のすべてのアカウントに引き続き適用されますが、ここで問題のサービスアカウントには適用されませんか?
ここでいくつかの用語を台無しにした場合はご容赦ください。私はただの開発者です。 :)
編集:私が単一のサーバー上のコンソールアプリについて話していて、ネットワーク上の多くの異なるサーバー上のホームエリアにアクセスしていることを明確にしました。
この機能はUAC(ユーザーアカウント制御)と呼ばれます。これは、ユーザーごとではなくサーバーごとにのみ無効にできます。無効にするには、スタートメニューに移動し、「msconfig」と入力して、リスト内の唯一のエントリを開きます。この新しいウィンドウで、[ツール]タブを選択し、[UAC設定の変更]を選択してから、スライド式スケールをプルダウンして無効にします。
Windows 8以降では、U.A.Cを無効にできないと確信しています。 (レジストリハックなしですが、Windowsアプリは機能しません)。より良い方法は、管理者承認モード(A.A.M.)を無効にすることです。
Windowsエクスプローラーでフォルダーにアクセスすると、「現在このフォルダーにアクセスする権限がありません」というメッセージが表示されます。これで、このフォルダーに次のアクセス許可が設定されていることがわかりました。
- システム-フルコントロール
- 管理者-フルコントロール
- ユーザー-フォルダ追加データの作成
私のユーザーアカウントはAdministratorsのメンバーです。このフォルダにアクセスする権限が必要です。
さてA.A.M. Explorerの起動時に、すべての「管理者」グループメンバーに「標準ユーザー」アクセストークンを付与します。そのため、フォルダをクリックすると、ユーザーアクセス制御(U.A.C.)がポップアップして許可を求めます。これにより、ユーザーが個別のA.C.Lとして追加されます。 (アクセス制御リスト)エントリを入力し、「管理者」と同じ権限を付与します。
これに対する2つの解決策:
- 管理者と同じ権限を持つ新しいグループを作成し、ユーザーをこのグループに追加し、アクセスするフォルダーにこのグループを追加します。プロンプトまたは個別のユーザーA.C.Lなしでフルアクセスできます。追加されるエントリ。
A.A.M.を無効にする ここをクリック
- 基本的に、+ R GPEDIT.msc
- コンピュータの構成-> Windowsの設定->セキュリティの設定->ローカルポリシー->セキュリティオプション
- ユーザーアカウント制御:ビルトインAdministratorアカウントの管理者承認モード
- ユーザーアカウント制御:管理者承認モードでの管理者に対する昇格プロンプトの動作
- ユーザーアカウント制御:すべての管理者を管理者承認モードで実行します
- 次の順序で、ポリシー設定を設定します。
- 無効
- プロンプトを表示せずに昇格
- 無効