Eu procurei por isso, e tudo que eu posso encontrar é o tipo usual de "eu sou um administrador, mas preciso elevar". Isso não é exatamente o mesmo.
Eu tenho uma unidade D em um servidor de arquivos (2008 r2 e mesmo problema configurando-se em 2012 também) com uma pasta que é compartilhada com os usuários. Todos têm acesso a toda a unidade compartilhada pela rede, além de algumas pastas que somente grupos específicos podem acessar.
Configurei isso para que essas subpastas específicas parem de herdar permissões e forneçam acesso total aos grupos em questão (nada a ver com os administradores). Eu tenho um usuário de domínio que é um membro do grupo de operadores de backup e todos os grupos de operadores de backup locais em cada máquina no domínio (definido por meio do GPO). Este usuário é usado para executar um programa de sincronização de arquivos, a fim de sincronizar o compartilhamento de arquivos para um NAS todas as noites para backup. Este software também é executado na máquina em questão e não remotamente.
Eu dei ao usuário a capacidade de fazer logon interativamente para que eu possa configurar o software nessa conta e testar se o backup funciona antes de criar uma tarefa agendada para ele.
O problema inicialmente era que o software não conseguia acessar as pastas mais protegidas - o que, até onde eu sabia, não era possível com os operadores de backup. Então, em vez disso, adicionei o grupo de operadores de backup explicitamente a essas permissões de pasta com acesso total - o mesmo erro. Então, usando o explorador eu fui encontrar as pastas em questão - e note que não estou executando como administrador, no entanto apesar deste windows me pediu para elevar.
Agora, essa é a pergunta: por que uma conta não administrativa exige um token de administrador para acessar uma pasta para a qual ele possui permissões completas (por meio de seus operadores de backup de grupo)? Isso não está em uma pasta do sistema, ou unidade do sistema, é apenas uma unidade normal, sob um monte de pastas normais com algumas restrições um pouco mais rígidas sobre elas.
Eu realmente não entendo porque o UAC é necessário neste caso - não tem nada a ver com administradores!
obrigado
EDITAR:
Permissões nas pastas conforme solicitado pelo comentário:
C:\Windows\system32>icacls "d:\share\support\tech documents"
d:\share\support\tech documents
QUT\access tech docs:(OI)(CI)(F)
QUT\Domain Admins:(OI)(CI)(F)
BUILTIN\Backup Operators:(OI)(CI)(F)
Successfully processed 1 files; Failed processing 0 files
C:\Windows\system32>icacls "d:\share\support"
d:\share\support BUILTIN\Administrators:(F)
Everyone:(I)(OI)(CI)(M)
BUILTIN\Backup Operators:(I)(OI)(CI)(F)
QUT\Enterprise Admins:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(F)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
QUT\Domain Admins:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
BUILTIN\Users:(I)(OI)(CI)(RX)
BUILTIN\Users:(I)(CI)(S,AD)
BUILTIN\Users:(I)(CI)(S,WD)
Successfully processed 1 files; Failed processing 0 files
A pasta acima em questão é simplesmente herdar as permissões, os documentos técnicos têm uma herança desativada e permissões explícitas definidas.
Respostas:
Alguma experimentação rápida confirmou minha suspeita inicial de que
Backup Operators
é tratado da mesma forma queAdministrators
, ou seja, um usuário noBackup Operators
O grupo é considerado um administrador e recebe um token dividido. Isso significa que você precisa elevar para tirar proveito de ser um membro doBackup Operators
grupo, exatamente da mesma maneira que você precisa elevar para tirar proveito de ser um membro doAdministrators
grupo.Isso faz sentido, porque o código mal-intencionado executado com o privilégio de operador de backup pode facilmente aproveitar esse privilégio para obter acesso ilimitado.
O artigo do MSDN "Ensine seus aplicativos a serem reproduzidos com controle de conta de usuário do Windows Vista" inclui uma lista de todos os grupos e privilégios que farão com que um token dividido seja criado.
Grupos:
Privilégios:
Nota: essa lista foi escrita para o Windows Vista. Não sei se houve alguma alteração nas versões posteriores do Windows.
fonte