Чому видалення групи EVERYONE заважає адміністраторам домену отримати доступ до диска?

12

Це пов’язано з цим питанням:

Групі адміністраторів домену заборонено доступ до d: диск

У мене є сервер-член у абсолютно новому середовищі AD-лабораторії.

  • У мене є користувач Active Directory, ADMIN01який є членом Domain Adminsгрупи

  • Domain AdminsГлобальна група є членом місцевого сервера - члена Administratorsгрупи

  • Наступні дозволи налаштовані в корені мого нового D:диска, доданого після того, як сервер став членом домену:

    Усі - Спеціальні дозволи - Тільки ця папка
      Перейти папку / виконати файл
      Список папок / читання даних
      Прочитайте атрибути
      Прочитайте розширені атрибути

    ВЛАСНИК СТВОРИТЕЛЯ - Спеціальні дозволи - лише вкладені папки та файли
      Повний контроль

    СИСТЕМА - Ця папка, підпапки та файли
      Повний контроль

    Адміністратори - ця папка, підпапки та файли
      Повний контроль

Під вказаними вище ACL користувач домену ADMIN01може входити та отримувати доступ до D:диска, створювати папки та файли, і все це добре.

Якщо я видалю Everyoneдозвіл з кореня цього диска, тоді невбудовані користувачі, які входять до групи Domain Admins(наприклад ADMIN01), більше не можуть отримати доступ до накопичувача. Обліковий Administratorзапис домену добре.

Місцева машина Administratorта Domain Adminобліковий запис "Адміністратор" все ще мають повний доступ до диска, але будь-якому "звичайному" користувачеві, до якого додано Domain Admins, заборонено доступ.

Це відбувається незалежно від того, я створив том і видалив Everyoneдозвіл, увійшов у систему як локальна машина, Administratorчи я виконую цей вхід як Domain Adminобліковий запис адміністратора.

Як було сказано в моєму попередньому запитанні, вирішення проблеми полягає в тому, щоб відключити політику "Контроль облікових записів користувачів: запустити всіх адміністраторів у режимі затвердження адміністратора" або локально на сервері-члені, або через GPO, що використовується для домену.

Чому вилучення Everyoneоблікового запису з D:ACL викликає цю проблему для невбудованих користувачів, яким надано членство Domain Admins?

Крім того, чому цим типам Domain Adminневбудованих користувачів не пропонується збільшити свої дозволи, а не просто заборонити доступ до накопичувача?

windows  windows-server-2008  active-directory 
Кев
джерело

Відповіді:

10

Я сам це помітив. Що відбувається, так це те, що UAC починає працювати через те, що ти використовуєш членство "локальних адміністраторів", щоб отримати доступ до накопичувача, і це ексклюзивно те, для чого монітор UAC.

Для файлових серверів моя найкраща практика - ніколи не використовувати групу "Адміністратори" для надання дозволів для користувачів.

Спробуйте: Створіть групу AD під назвою "FileServerAdmins" або будь-яку іншу, додайте до неї свого користувача (або групу адміністратора домену). Надайте цій групі доступ до D-накопичувача з тими ж дозволами, що і до існуючої групи адміністраторів.

Ви повинні зауважити, що навіть після видалення дозволу "Усі" будь-які члени групи "FileServerAdmins" повинні мати доступ до накопичувача, не отримуючи підказки UAC.

Я трохи був шокований, коли я виявив це деякий час назад, це, безумовно, частина UAC, яка могла б використати певну редакцію ...

Тронд
джерело
Чим більше я натрапляю на божевільні проблеми, пов'язані з UAC (тобто майже щодня), тим більше я хочу проводити перегляд коду в мозку своїх розробників ...
Массімо
8

Здається, я не один у зустрічі з цією проблемою. Проблема, яка постає під сумнів, полягає в тому, що не вбудовані користувачі, які Domain Adminsне зовсім повний шилінг, коли мова йде про UAC, і, здається, до них звертаються "спеціально":

Windows Server 2008 R2 та UAC

Випуск дозволів UAC та адміністраторів доменів у Windows 2008 - Частина 1

Випуск дозволів UAC та адміністраторів домену або кишеньковий повний криптоніту - частина 2

Основний абзац з останнього посилання пояснює:

В основному, [невбудовані користувачі, які - (додав мене)] Адміністраторам домену, на відміну від ВСІХ ІНШИХ КОРИСТУВАЧІВ, надаються два жетони. Вони мають повний маркер доступу (як і всі інші) та другий маркер доступу, який називають відфільтрованим маркером доступу. Цей відфільтрований маркер доступу видалено адміністративні повноваження. Explorer.exe (тобто корінь усіх) запускається з відфільтрованого маркера доступу, і таким чином все починається з нього.

Подумайте, це як RUNAS у зворотному напрямку. Замість того, щоб бути адміністратором домену, ви зменшені до статусу пеона. Це, по суті, криптоніт.

Кев
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.