ドメイン管理グループのユーザーは、グループがアクセスする権限を持つディレクトリにアクセスできません

ドメインラボの1つで遊ぶと、かなり興味深い問題に遭遇しました。

「スタッフ」OU内のすべてのユーザーのフォルダーリダイレクトに使用されている2008 R2ファイルサーバー上のディレクトリがあります。ディレクトリには次の権限が設定されています。

• FILESERVER \ Administrators：ディレクトリ、サブディレクトリ、およびファイルへのフルコントロールを許可します
• DOMAIN \ Domain Admins：ディレクトリ、サブディレクトリ、およびファイルへのフルコントロールを許可します
• 認証済みユーザー：ファイルの作成、フォルダーの作成、属性の書き込み、および拡張属性の最上位ディレクトリへの書き込みのみを許可します

さらに、ディレクトリは、Authenticated Usersグループへの「フルコントロールを許可する」ネットワーク共有でもあります。

ドメインadminsグループのメンバーであるユーザーjohn.doeがファイルサーバーからディレクトリにアクセスしようとすると、「現在このフォルダーにアクセスする権限がありません」というエラーが表示されます。同じサーバーからネットワーク共有にアクセスしようとすると、アクセス許可拒否エラーが発生します（ただし、ユーザーは引き続き共有内の自分のディレクトリにアクセスできます）。

同じユーザーとしてログオンした別のコンピューターから共有にアクセスすると、構成されたとおりにアクセスできます。

ファイルサーバーにログオンしているときにディレクトリ内のファイルにアクセスできる唯一の方法は、昇格したコマンドプロンプトを開くことです。グループポリシーを使用して、ドメイン内のすべてのコンピューターに対してUACを無効にします（管理者承認モードですべての管理者を実行し、プロンプトなしで昇格するように既定の動作を設定します）。

すべての道路は、アクセスが許可されているユーザーを指しますが、依然として拒否されています。何か案は？

これは仕様です。UACは、昇格されていないプロセスから管理者資格情報を削除します。管理者資格情報のみを使用して、昇格されていないプロセスを使用してリモート共有にアクセスしようとすると、UACはプロセスのセキュリティトークンから管理者資格情報を削除し、プロセスは「アクセス拒否」エラーを受け取ります。

これを解決するには、次のことができます。

1. 管理者の資格情報を使用してフォルダーを保護しないでください（この目的のためだけに汎用グループを作成します）。または

2. ファイルサーバーでUACを無効にする（推奨されません）、または

3. UACのこの部分だけを無効にするには、ファイルサーバーで次のレジストリキーを有効にします。

詳細： Windows Vistaのユーザーアカウント制御とリモート制限の説明

UACは、サーバー自体のドメイン管理者資格情報を削除します。これは、UAC（愚かなIMO）の動作の一部です。1つのオプションは、サーバーでUACを完全に無効にして、「現在このフォルダーにアクセスする権限がありません」というプロンプトを表示しないことです。

編集：スレッドの例は次のとおりです：http : //social.technet.microsoft.com/Forums/en-US/winservergen/thread/9061bc1c-42ea-47ed-8c7d-56b07139fb86/

EDIT2：以下のジョンの答えはあなたが探しているものとまったく同じかもしれません。試してみて、可能であれば報告してください。

最良の方法は、次のレジストリキーを変更することです

registry::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system; key = EnableLUA

• 無効にするには、値0に設定されていることを確認してください
• 有効にするには再起動する必要があります。
• レジストリが有効になっている間、インターフェイスに無効と表示される場合があります