L'utilisateur du groupe d'administrateurs du domaine ne peut pas accéder au répertoire auquel le groupe est autorisé à accéder

J'ai rencontré un problème plutôt intéressant en jouant avec l'un de mes laboratoires de domaine.

Il y a un répertoire sur un serveur de fichiers 2008 R2 qui est utilisé pour la redirection de dossiers pour tous les utilisateurs de l'unité d'organisation "Personnel". Le répertoire dispose des autorisations suivantes:

• FILESERVER \ Administrators: autorise un contrôle total sur le répertoire, les sous-répertoires et les fichiers
• DOMAIN \ Domain Admins: autorisez un contrôle total sur le répertoire, les sous-répertoires et les fichiers
• Utilisateurs authentifiés: autorisez la création de fichiers, la création de dossiers, l'écriture d'attributs et l'écriture d'attributs étendus dans le répertoire supérieur uniquement

En outre, le répertoire est également un partage réseau avec "Autoriser le contrôle total" sur le groupe Utilisateurs authentifiés.

Lorsque l'utilisateur john.doe, membre du groupe d'administrateurs de domaine, essaie d'accéder au répertoire à partir du serveur de fichiers, il obtient l'erreur "Vous n'avez actuellement pas l'autorisation d'accéder à ce dossier". Essayer d'accéder au partage réseau à partir du même serveur entraîne également une erreur d'autorisation refusée (bien que l'utilisateur puisse toujours accéder à son propre répertoire dans le partage).

L'accès au partage à partir d'un autre ordinateur connecté en tant que même utilisateur permet l'accès tel qu'il est configuré.

La seule façon d'accéder aux fichiers du répertoire lorsque vous êtes connecté au serveur de fichiers consiste à ouvrir une invite de commande élevée. Le contrôle de compte d’utilisateur est désactivé pour tous les ordinateurs du domaine via la stratégie de groupe (exécuter tous les administrateurs en mode d’approbation d’administrateur est activé et le comportement par défaut est défini sur élévation sans invite).

Toutes les routes indiquent que l'utilisateur est autorisé à accéder, mais il est toujours refusé. Des idées?

C'est par conception. UAC supprime les informations d'identification d'administrateur de tout processus non élevé. Si vous essayez d'utiliser un processus non élevé pour accéder à un partage distant en utilisant uniquement les informations d'identification d'administrateur, UAC supprimera les informations d'identification d'administrateur du jeton de sécurité du processus et le processus recevra une erreur "accès refusé".

Pour y remédier, vous pouvez:

1. N'utilisez pas les informations d'identification d'administrateur pour sécuriser le dossier (créez un groupe générique uniquement à cette fin), ou

2. Désactivez l'UAC sur le serveur de fichiers (non recommandé), ou

3. Activez la clé de registre suivante sur le serveur de fichiers pour désactiver uniquement cette partie de l'UAC.

Plus d'informations: Description du contrôle de compte d'utilisateur et des restrictions à distance dans Windows Vista

L'UAC supprime les informations d'identification d'administrateur de domaine sur le serveur lui-même, cela fait partie du fonctionnement de l'UAC (stupidement IMO). Une option consiste à désactiver complètement l'UAC sur le serveur pour ne pas recevoir l'invite «Vous n'avez actuellement pas l'autorisation d'accéder à ce dossier».

EDIT: voici un exemple de thread btw: http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/9061bc1c-42ea-47ed-8c7d-56b07139fb86/

EDIT2: La réponse de John ci-dessous pourrait être exactement ce que vous recherchez. Essayez-le et faites un rapport si vous le pouvez.

La meilleure façon est de changer la clé de registre à

registry::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system; key = EnableLUA

• Assurez-vous qu'il est défini sur Valeur 0 pour désactiver
• Vous devez redémarrer pour qu'il prenne effet.
• L'interface peut l'afficher comme désactivé lorsque le registre est activé