web-dev-qa-db-ja.com

ActiveDirectoryドメイン内のルートドライブcへの書き込み権限が突然失われたユーザー

一部のWindowsServer 2008、Windows Server 2008 R2、およびWindows Server2012マシンでActiveDirectoryシングルドメイン環境を管理しています。

数週間後、奇妙な問題が発生しました。一部のユーザー(すべてではありません!)は、クライアント(Vista、win 7)でも、Windows Server 2008マシンのリモートデスクトップ接続でも、ルートドライブcにファイルを保存、コピー、または書き込むことができなくなったと報告しています。それ以降、管理者権限なしでルートドライブへの直接書き込み権限を必要とする実行中のプログラムでさえ、そうすることができません。

影響を受けるユーザーには、ローカル管理者権限があります。

私が今直面している質問は、このシステム動作の変化の原因は何ですか?なぜこれが起こったのですか?まだわかりませんでした。

それが起こる前に私がした最後のことは何でしたか?

  • それが発生する前に行われた最後のアクションは、セキュリティグループメンバーシップに応じたユーザーのネットワークドライブマッピングを含むGPOのロールアウトでした。すべてのネットワークドライブは、sambaが有効になっているLinuxサーバー上にあります。 。

  • UAC設定は変更せず、常にアクティブ化されています。

  • しかし、これを展開することで問題が発生したとは想像できませんGPO。誰かがそのような問題に直面したことがありますか?

念のため:

  • Windows VistaとUACの実装以降、管理者権限のないユーザーがルートドライブに書き込めないのは特別な理由があることを私は知っています。それらのユーザーがドライブcに書き込むことができるはずではないと思いますが、なぜこれが発生しているのかを理解しようとしています。数週間前はまだ機能していました。

  • また、ローカル管理者グループのメンバーであるユーザーは、このアクセス許可でプログラムを実行しない限り、デフォルトで管理者アクセス許可で何も実行しないことも知っています。

私はまだ何をしましたか?

  • 影響を受けるプログラム、影響を受けるクライアント/サーバーの権限を確認しました。特別なものは見つかりませんでした。

  • 影響を受けるユーザーがルートドライブに書き込むのを妨げる可能性のある制限があるかどうか、すべてのGPOを確認しました。設定が見つかりませんでした。

  • 影響を受けたユーザーのUAC設定を確認し、ルートドライブにまだ書き込むことができる他のユーザーと比較しました。すべてが似ています。

  • 私はインターネットをグーグルで検索し、同様の問題を抱えている人を見つけようとしました。見つかりませんでした。

誰かアイデアはありますか?どうもありがとうございました。

編集:

展開されたGPOは次のことを行います(設定がそのように正確に名前付けされていない場合は失礼します。設定を英語に翻訳しました):


**Windows Settings --> Network Drive Mappings --> Drive N: --> General:**
Action: Replace

**Properties:**
Letter: N
Location: \\path-to-drive\drivename
Re-Establish connection: deactivated
Label as: Name_of_the_Share
Use first available Option: deactivated

**Windows Settings --> Network Drive Mappings --> Drive N: --> Public:
Options:**
On error don't process any further elements for this extension: no
Run as the logged in user: no
remove element if it is not applied anymore: no
Only apply once: no

**Securitygroup:**
Attribute --> Value
bool --> AND
not --> 0
name --> domain\groupname
sid --> sid-of-the-group
userContext --> 1
primaryGroup --> 0
localGroup --> 0

**Securitygroup:**
Attribute --> Value
bool --> OR
not --> 0
name --> domain\another-groupname
sid --> sid-of-the-group
userContext --> 1
primaryGroup --> 0
localGroup --> 0

編集:影響を受けるユーザーのエラーメッセージには、次のように書かれています。


Due to an unexpected error you can't copy the file.
Error-Code 0x80070522: The client is missing a required permission.

コマンドicaclsC:は、次のことを示しています。


NT-AUTORITY\SYSTEM:(OI)(CI)(F)
PRE-DEFINED\Administrators:(OI)(CI)(F)
computername\username:(OI)(CI)(F)

ある大学から、プライマリドメインコントローラー(PDC)もWindows Server2008からWindowsServer2012に変更されたと言われました。これも理由かもしれません。助言がありますか?

windows-server-2008windows-server-2008-r2windows-7windows-server-2012permissions
5
Kevin

私はまだコメントすることを許可されておらず、これはそれ自体の解決策ではありませんが、Server2012とServer2012 R2に加えて、Windows7と8でも同じ種類の動作に気づきました。さらに、これは、ownershipおよびドライブのルートディレクトリの完全なアクセス許可を管理者アカウントに変更した後でも、管理者アカウントから発生します。また、この経験はワークグループ内のマシンを使用するローカルアカウントで観察されたため、ネットワークとドメイン内にいることは問題の一部ではありません。

たとえば、管理者はファイルをD:ドライブからE:\ルートにコピーすることはできませんが、E:\ tempにコピーしてからmoveファイルをE:\に。 コピーは許可されていませんが、同じドライブ上を移動することは許可されています。

これらの機能の実行を許可されているユーザーが本当にいる場合:

一部のユーザー(すべてではありません!)は、ルートドライブにファイルを保存、コピー、または書き込むことができなくなったと報告していますc

他のアカウントと比較して、彼らのアカウントのユニークな点を詳しく調べることをお勧めします。動作が変わった理由については、MicrosoftUpdateで適用されたものだと思っていました。 (答えの並べ替え:-)

1
ZuberFowler