NTFS - У администраторов домена нет полномочий несмотря на то, чтобы быть частью группы локальных администраторов
Я просто дал бы пользователю домашнюю папку как любой другой пользователь и установил бы соответствующие конфигурации там. Наличие пользователя, который является домашней папкой, является/tmp, который является также записываемым другими пользователями, сомнительно с точки зрения безопасности.
Вы не упоминали то, что окружает пользователя, был настроен для - это важно также.
Верно, UAC запускается, когда программа запрашивает права администратора. Например, проводник, запрашивающий права администратора, потому что это то, что требуют списки контроля доступа NTFS для этих файлов и папок.
У вас есть четыре варианта, о которых я знаю.
Отключить UAC на ваших серверах.
- Я все равно делаю это (в общем случае), и будет утверждать, что если вам нужен UAC на сервере, вы, вероятно, делаете это неправильно, потому что в целом только администраторы должны входить на серверы, и они должны знать, что они '
- Я все равно делаю это (в общем случае), и будет утверждать, что если вам нужен UAC на сервере, вы, вероятно, делаете это неправильно, потому что в целом только администраторы должны входить на серверы, и они должны знать, что они '
Управление разрешениями из интерфейса с повышенными правами
- Окно с повышенными правами
cmd, окноPSили экземпляр Explorer - все это позволяет избежать всплывающего окна UAC. (Запуск от имени администратора)
- Окно с повышенными правами
Удаленное управление разрешениями NTFS
- Подключение через UNC с компьютера, на котором не включен UAC.
- Подключение через UNC с компьютера, на котором не включен UAC.
Создайте дополнительную неадминистративную группу с полным доступ в списках ACL NTFS ко всем файлам и папкам, которыми вы хотите управлять, и назначить для них своих администраторов.
- Всплывающее окно UAC не будет (не должно) запускаться, потому что Explorer больше не будет требовать прав администратора, поскольку доступ к файлам предоставляется другой, не административной группой.
Лучше всего изменить раздел реестра в
registry :: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ policy \ система; key = EnableLUA
Убедитесь, что установлено значение 0, чтобы отключить его. Вам необходимо перезагрузить компьютер, чтобы он вступил в силу. Интерфейс может отображать его как отключенный, пока включен реестр.
Вы также можете отключить режим утверждения администратором для администраторов через GPO или в локальной политике безопасности.
Local Security Policy \ Security Settings \ Local Policies \ Security Options \ User Account Control: Run все администраторы в режиме утверждения администратором - отключено
Установите обе эти политики для членов локальной группы администраторов, чтобы они могли изменять файлы и подключаться к общим папкам администратора:
После внесения этих изменений потребуется перезагрузка.