Доброго времени суток.
Прошу разъяснить один интересный момент. Рассказчик из меня никакой, поэтому заранее извиняюсь за запутанную манеру изложения.

На компьютере под управлением Windows 7 Pro имелись два аккаунта: к примеру, account1 и account2. account1 состоял в группе Администраторы, account2 - Пользователи.
Доступ на диск D для пользователей account1 - Полный доступ, для пользователей account2 - Чтение и выполнение.

После обновления (чистой установки) на данном компьютере Windows 8.1 Pro программы из под свежесозданного аккаунта account1, находящегося также в группе Администраторы, обладающего также полным доступом к диску, стали запускаться только от имени администратора, как и любые попытки записи/удаления - только с подтверждения администратора. В Win7, как можно догадаться, подтверждения не требовалось.

Ладно, стал экспериментировать: на диске D, на вкладке Безопасность, удалил группу Пользователи (остались только Администраторы и СИСТЕМА). После этого доступ к диску для account1 был полностью ограничен. Делаем вывод: account1 принадлежит группе Пользователи, хотя на самом деле он находится в группе Администраторы! Подтверждением этому также стало возвращение группы Пользователи во вкладку Безопасность и назначении им прав Полного доступа, после чего все программы, запускающиеся из под ccount1 и так или иначе использующие диск D, стали запускаться без админских прав, как и любые операции записи/удаления.

Вопрос: почему в Win8.1 я, являясь членом группы Администраторы, на самом деле обладаю правами Пользователя?

Откройте окно "управление" в свойствах компьютера, локальные пользователи и группы, покажите свойства обоих учеток на вкладке "членство в группах"

frogjab, это называется UAC - контроль учётных записей.
В Windows 7 он тоже есть, но там вы его отключили.

Так ли страшен контроль учётных записей (UAC)? (http://www.outsidethebox.ms/10034/)

dislike, захожу, естественно, под Admin'ом
http://i77.fastpic.ru/big/2016/0622/60/ebb5ca97ff901cea7c88bbba96c53260.png
http://i77.fastpic.ru/big/2016/0622/28/c110062c0ba87d1562af2399c2b8aa28.png
http://i77.fastpic.ru/big/2016/0622/6a/3411165b46be75435a640f4ad37c9f6a.png
http://i77.fastpic.ru/big/2016/0622/73/f9cec35a0f4b11693556de62bf1a4b73.png

Petya V4sechkin, настроено все так же, как на Win7
http://i77.fastpic.ru/big/2016/0622/90/e9379027aa0ed886165200378855b790.png

frogjab, так он не совсем отключается.

Petya V4sechkin, так он и в вин7 не совсем отключается.
http://bdoshelp.ru/content/uploads/2015/04/windows7-settings-uac.jpg

frogjab, если ссылка в посте 3 вас не убедила вас перестать играть в суперадмина, вы найдете необходимое в Настройки групповых политик контроля учетных записей (http://www.oszone.net/11424) и п.1 здесь (http://forum.oszone.net/thread-216150.html)

dislike, захожу, естественно, под Admin'ом »
Я проверил на своей системе вашу комбинацию настроек прав доступа - у меня всё то же самое как и у вас, не зависимо от UAC (у меня он включен всегда). Очевидно, для NTFS-прав есть какой-то неизвестный нюанс, касающийся прав для группы "Администраторы". Я попробовал задать права в явном виде для УЗ "Администратор" отдельно (или admin в вашем случае), а не для группы, и в таком виде всё работает корректно. Собственно, решение только такое.

Очевидно, для NTFS-прав есть какой-то неизвестный нюанс, касающийся прав для группы "Администраторы".
Это известный нюанс UAC (можете почитать описание).
Когда учётная запись из группы Администраторы входит в систему при включенном UAC, создаются два access token: пользовательский и административный. Пользовательский работает по умолчанию, административный - после одобрения запроса UAC.

Единственное исключение: встроенная учётная запись Администратор (которую не рекомендуется использовать).

Единственное исключение: встроенная учётная запись Администратор (которую не рекомендуется использовать). »
Непонятно. В чем проявляется это исключение в данном случае? Сказано, что на неё не распространяется UAC. Ну а дальше-то что это значит? Что у неё один access token административный? Или пользовательский, который не переходит в административный, потому что UAC не дает одобрение? Если первое, то почему у меня с ней возникли такие же проблемы доступа как у ТС? Если второе... то такая УЗ была бы непригодна для администрирования, а это не так. Не сходится.

dislike, Я попробовал задать права в явном виде для УЗ "Администратор" отдельно (или admin в вашем случае), а не для группы, и в таком виде всё работает корректно. Собственно, решение только такое. »
Огромное спасибо, не догадался сам! Проблема решена.

Это известный нюанс UAC (можете почитать описание).
Когда учётная запись из группы Администраторы входит в систему при включенном UAC, создаются два access token: пользовательский и административный. Пользовательский работает по умолчанию, административный - после одобрения запроса UAC. »
Этот ответ я и хотел получить, собственно, данный нюанс распространяется на win8 и выше, я правильно понимаю?

Что у неё один access token административный?
Да.
Если первое, то почему у меня с ней возникли такие же проблемы доступа как у ТС?
Значит, у вас включена политика FilterAdministratorToken, о которой также упоминается в статье (она уравнивает встроенного Администратора с прочими).

Значит, у вас включена политика »
Я её не включал, поскольку нафиг не нужно. Это может означать лишь то, что данные статьи устарели и МС сами в какой-то момент приравняли Админа с прочими.

Проверил политику, из трех параметров только 2 соответствуют указанным значениям, третий параметр ConsentPromptBehaviorAdmin равен 5 вместо 0. И я абсолютно точно ничего не менял сам.

данный нюанс распространяется на win8 и выше, я правильно понимаю?
На Windows Vista и выше.

Проверил политику
Покажите содержимое раздела реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoAddingComponents"=dword:00000001
"NoComponents"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Attachments]
"ScanWithAntiVirus"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection]
"AllowTelemetry"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"ForceActiveDesktopOn"=dword:00000000
"NoActiveDesktop"=dword:00000001
"NoActiveDesktopChanges"=dword:00000001
"NoRecentDocsHistory"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID]
"{553891B7-A0D5-4526-BE18-D3CE461D6310}"="2"
"{449D0D6E-2412-4E61-B68F-1CB625CD9E52}"="2"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\NonEnum]
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"=dword:00000020
"{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF}"=dword:40000021
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=dword:00000005
"ConsentPromptBehaviorUser"=dword:00000003
"DSCAutomationHostEnabled"=dword:00000002
"EnableCursorSuppression"=dword:00000001
"EnableInstallerDetection"=dword:00000001
"EnableLUA"=dword:00000001
"EnableSecureUIAPaths"=dword:00000001
"EnableUIADesktopToggle"=dword:00000000
"EnableVirtualization"=dword:00000001
"ValidateAdminCodeSignatures"=dword:00000000
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"scforceoption"=dword:00000000
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"FilterAdministratorToken"=dword:00000001
"PromptOnSecureDesktop"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard\Exceptio nFormats]
"CF_BITMAP"=dword:00000002
"CF_DIB"=dword:00000008
"CF_DIBV5"=dword:00000011
"CF_OEMTEXT"=dword:00000007
"CF_PALETTE"=dword:00000009
"CF_TEXT"=dword:00000001
"CF_UNICODETEXT"=dword:0000000d

"FilterAdministratorToken"=dword:00000001
Ну вот же.
По умолчанию 0.

Ну вот же.
По умолчанию 0. »

По какому умолчанию? Я уже говорил

И я абсолютно точно ничего не менял сам. »

?

Это лицензионная windows 10, если что, установлена неделю назад методом обновления с лицензионной же 8.1.

dislike,

Вам уже впрямую говорят изменить в разделе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

значение параметра FilterAdministratorToken на 0

Установил вирт машину с Win7. Абсолютно все те же настройки.
http://i71.fastpic.ru/big/2016/0622/f1/d3a5f39b1da0d0c8371ba2d3678936f1.png

Вам уже впрямую говорят изменить в разделе реестра »
Зачем мне это делать? Меня лично всё устраивает. Мы тут вообще о другом говорим. О том, что МС изменила политики по-умолчанию.