Права доступа Windows Server 2008 #656920

Я решил убрать права на просмотр содержимого диска C для пользователей. Зашёл в настройки безопасности и добавил правило запрета для группы Пользователи на просмотр диска С. В итоге я (Администратор) входящий только в группу Администраторы сам потерял такое право и вообще возможность администрировать систему. При этом стандартные средства воскрешения системы разводят руками, на PE не встают драйвера от железного RAID и короче мне проще переставить систему чем разбирать сервак и ставить на другой жестяк винду и воскрешать. (Благо я ещё не много настроил). Внимание вопрос - Где я неправильно поступил и как убрать возможность пользователей просматривать диск C Спасибо.

не может быть такого, что-то не договариваешь

Два раза так делал. Второй раз просто снял галку на чтение списка каталога у группы пользователей. Второй раз переустанавливаю.

хз, как у тебя так получается. Делал тоже самое, права админов остались

И виртуальная машина накрылась ) С: - > Свойства -> Безопасность -> Дополнительно - > Изменить(по памяти пишу) -> Добавить -> Группа Пользователи -> Запретить все -> Только для этой папки -> ок... И всё под Локальным админом не могу вернуть права и вообще увидеть диск с.

Мдя, только в винде администратор может превратиться в недоадмина одним движением руки.

Сам администрирую и Unix и Винду... извращался с правами винды - у меня всегда всё получалось и всё нравилось. Перед тем, как убить ВМ попробовал вырубить доступ для другой группы. Такого эффекта не получилось. И однозначно - я админ состою только в группе Администраторы.

Запретил читать содержимое произвольной папки (не системной) для группы пользователей. Админа - не пускает. Почему - не понятно. Видимо какая-то особенность режима Администратора, что он работает от прав группы пользователей пока не производит административных действий. Почему именно от этой группы - мне не понятно. Короче бог с ней - просто запрещу новосозданной группе и буду включать туда новых пользователей. (Как жалко что в группу нельзя включить группу. В AD кстати можно?)

извращенцы, у меня все работает , ЧЯДНТ?

Не знаю что ты там ещё понавырубал - но у меня только после установки W 2008 R2 S1 RU и W 2008 R2 EN при действиях описанных в 4 терятется возможность Админить.

Только после установки - в смысле сразу же после установки (на голую)

А Администратор в группу пользователи входит ? Нечего ему там делать! Создай произвольную группу и ей всё запрети, а потом смотри. Также не стоит забывать, что есть такая вещь, как "обход перекрёстной проверки", и если он не работает, то запрет для корня С автоматически запрещает всё вложенное.

Неизвестно что ты там наворотил, но косяк явно твой. Копай в следующем направлении - как правило все системы проверки разрешений и запретов работают линейно. Т.е перебирают правила от меньшего к большему, и применяют. Как только правило подошло перебор прекращается. Поясню - если в файерволе ты создашь два правила - 1)запрещать всем 2)разрешать Васе. То Вася круто обломается, т.к первое правило - запрещать всем, в том числе и Васе, а второе никто не будет читать т.к подошло первое. Если ты хочешь оставить доступ Васе, то нужно писать так - 1)Разрешать Васе. 2)Запрещать всем. Т.е скорее всего ты поставил на запрет группу в которую входит пользователь, поэтому тебя и не пускает.

to ответы на ваши вопросы есть в Когда вы выставляете права в винде то указываете степень вложенности. Вы можете указать к примеру что нельзя посмотреть состав хранящихся в ней папок и файлов - но зайти и в папку, читать и записывать - можете. Так же как в UNIX. Я указал ранее что запрещаю просмотр содержимого только корня диска С. to В винде правила запрета имеют больший приоритет чем разрешения. Их порядок не регулируется. Я указывал, что если выставить ограниче новосозданной группе эффекта не наблюдается. Ну и да - третий раз указываю - Администратор состоит только в Группе Администраторы.

Можно попробовать стать владельцем объекта. А потом и права вернуть. Но это по папкам работает. Если корень диска тогда, возможно поможет загрузиться с LiveCD? И там сбросить права?