Verwirrung der Gruppenberechtigung

Ich habe eine virtuelle Hyper-V-Umgebung mit Domänencontrollern (SRV1, SRV2) mit Win Server 2016 (GUI) installiert.

SRV1

• 2 NICs. 1 zum Anschluss an einen externen Switch und 1 zum Anschluss an einen internen Switch.
• ADDS, DNS, DHCP, direkter Zugriff (NAT) und DFS-Replikation installiert. (Kein DFS-Namespace)
• 3 zusätzliche Laufwerke mit je 1 Partition (Ergebnis: F: /, G: /, H: /)
• Die Partitionen werden nicht freigegeben.

SRV2

• 1 NIC, an den internen Switch angeschlossen.
• ADDS, DNS und DHCP installiert.
• 1 zusätzliches (großes) Laufwerk mit 1 Partition und einem Speicherpool mit 2 virtuellen Festplatten (Ergebnis F: /, G: /, H: /).
• Die Partitionen werden nicht freigegeben.

DFS

• Auf SRV1 habe ich eine Replikation zwischen Ordnern in SRV1-F: /  SRV2-G: / konfiguriert.
• Auf SRV1 kann ich eine Textdatei auf (einen Ordner in) F: / schreiben und erscheint auf (ein Ordner auf) G: / auf SRV2.

Wichtig

• Benutzerkonto "Mattie" erstellt
• "Mattie" hat dieselbe Mitgliedschaft wie das Standardadministratorkonto ( https://imgur.com/Bwz4eR8 ).
• "Mattie" hat die Partitionen erstellt und die NTFS-Berechtigungen nicht direkt geändert. Nur ich kann auf ein Konto zugreifen.
• Als "Mattie" kann ich auf die Partitionen zugreifen, aber ich kann auf keine Partitionen schreiben. Ich kann in die DFS-Ordner schreiben, aber nicht in diese Partition.

Partitionsberechtigungen: ( https://imgur.com/SzmOjgr )

• Alle: "Lesen und ausführen"
• Administratoren: "Vollzugriff"

Fehler: ( https://imgur.com/y6Q74Ic )

• Beim Versuch, eine Textdatei aus dem "Notepad" zu speichern, bekomme ich die Gewohnheit, dass Sie keine Berechtigung haben.
• Ich kann einen Ordner in einer beliebigen Partition nur von der File Explorer-Kontextpartition erstellen
• Dies umfasst auch die Systempartition (C: /) und alle Partitionen auf SRV2.

Ich habe Mattie als Domänenadministrator erstellt. "Mattie" ist Teil der Gruppe "Administratoren" und die "Administratoren" erhielten für jede Partition "Vollzugriff". Nach meinem Verständnis sollte "Mattie" die "volle Kontrolle" erhalten. Die "Jeder" hatte nicht die Berechtigung "Lesen" und als "Jeder" die Berechtigung "Lesen" gegeben wurde, wurde dies behoben. Dies gibt mir einen Grund zu der Annahme, dass "Mattie" das "Lesen" von der "Jeder" - Identität erhält und nicht von einem Mitglied der Gruppe "Administratoren".

Ich weiß, dass dies grundlegend ist, aber ich hoffe, dass mich jemand über die Berechtigungen aufklären kann.