Путаница в групповых разрешениях

320
Mattie_IT

У меня есть виртуальная среда Hyper-V с контроллерами домена (SRV1, SRV2) с установленным Win Server 2016 (GUI).

SRV1

  • 2 сетевых карты. 1 для подключения к внешнему коммутатору и 1 для подключения к внутреннему коммутатору.
  • ADDS, DNS, DHCP, прямой доступ (NAT) и репликация DFS установлены. (Нет пространства имен DFS)
  • 3 дополнительных диска с 1 разделом на каждый (Результат: F: /, G: /, H: /)
  • Разделы не являются общими.

SRV2

  • 1 сетевая карта, подключенная к внутреннему коммутатору.
  • ADDS, DNS и DHCP установлены.
  • 1 дополнительный (большой) диск с 1 разделом и пул хранения с 2 виртуальными жесткими дисками (результат F: /, G: /, H: /).
  • Разделы не являются общими.

ДФС

  • На SRV1 я настроил репликацию между папками в SRV1 - F: /  SRV2 - G: /.
  • На SRV1 я могу написать текстовый файл в (папка в) F: / и появляется в (папка в) G: / на SRV2.

Важный

  • Создан аккаунт пользователя "Мэтти"
  • «Mattie» имеет то же членство в учетной записи администратора по умолчанию ( https://imgur.com/Bwz4eR8 ).
  • «Mattie» создал разделы и напрямую не изменил разрешения NTFS. Только я могу получить доступ к любой учетной записи.
  • Как "Мэтти" я могу получить доступ к разделам, но я не могу писать ни на один раздел. Я могу писать в папки DFS, но не в этот раздел.

Разрешения раздела: ( https://imgur.com/SzmOjgr )

  • Все: «Читай и исполняй»
  • Администраторы: «Полный контроль»

Ошибка: ( https://imgur.com/y6Q74Ic )

  • При попытке сохранить текстовый файл из «Блокнота» я получаю обычное, у вас нет разрешения).
  • Я могу создать папку только в любом разделе из контекстного раздела File Explorer.
  • Это также включает системный раздел (C: /), а также все разделы на SRV2.

Я создал Мэтти, чтобы стать администратором домена. Mattie входит в группу «Администраторы», а «Администраторы» получают «Полный доступ» в любом разделе. Из моего понимания «Мэтти» должен получить «Полный контроль». «Все» не имели разрешения «Чтение», а при предоставлении «Всем» разрешения «Чтение» это исправлялось. Это дает мне основание полагать, что «Мэтти» получает «Чтение» от «Все», а не от принадлежности к группе «Администраторы».

Я знаю, что это является основным, но я надеюсь, что кто-то может просветить меня о разрешениях.

0
Пожалуйста, отредактируйте свой вопрос, чтобы уточнить следующие моменты: 1) Вы пытаетесь получить доступ к разделам напрямую с сервера или по сети? Через DFS? 2) Какую ошибку вы получаете? 3) Вы установили пространство имен DFS, репликацию или оба? Twisty Impersonator 5 лет назад 0

0 ответов на вопрос