不允许域管理员查看文件的安全组

Question

这应该很简单。我将文档文件夹重定向到一个名为//dc/documents的共享。它为每个人在此共享下创建一个文件夹，然后在该文件夹下为我的文档创建一个文件夹。此//dc/文档共享的安全权限如下：

• 共享权限：
  • 所有人-全控制

• NTFS权限：
  • 每个人(仅此文件夹)-列出文件夹/读取数据、读取属性、读取扩展属性、读取权限
  • 创建者所有者(仅限于子文件夹和文件)-完全控制
  • 系统(此文件夹、子文件夹和文件)-完全控制
  • 管理员(此文件夹、子文件夹和文件)-完全控制
  • 域管理员(此文件夹、子文件夹和文件)-完全控制

当我登录到PDC上内置的管理员帐户时，我的问题就出现了。虽然该帐户是域管理员和管理员组的一部分，但我没有查看子文件夹和文件的权限。我没有看到任何继承的权限可以阻止我在这些文件夹中做任何我想做的事情。打开文件夹的时候有什么神奇的按钮吗？这正变得越来越令人沮丧。

Answer 1

当通过GPO配置文件夹重定向时，有一个选项可以授予用户对重定向文件夹的独占访问权限。默认情况下，此选项是打开的，我怀疑即使您尝试在父级授予权限，此GPO设置也会导致问题。尽管您似乎已经在父级设置了适当的权限，但Windows正在删除这些权限，因为GPO设置正在创建重定向文件夹。

如果更改GPO设置，它将对创建的所有新文件夹生效，但不会对现有文件夹生效。最简单的方法可能是取消GPO选项，备份数据，删除现有文件夹，让Windows重新创建文件夹，并恢复数据。

Answer 2

你确定你只是和UAC有问题吗？

UAC过滤掉您对administrators组的使用，作为保护您的一种方法。

http://technet.microsoft.com/en-us/library/cc709691(WS.10).aspx