Адміністратори Windows діляться загальним доступом, що дозволяє небажаному доступу для всіх користувачів домену

1

Моя проблема

У мене проблема з спільними ресурсами на моєму сервері Windows 2008 R2:

  • Усі акції, включаючи адміністративні акції, такі як c $, дозволяють усім користувачам дозволити створювати файли та папки.

Моя спроба виправити

Я спробував скинути дозволи на свої акції за допомогою інструменту icacls , зробивши щось на кшталт:icacls C:\SHARE /reset

Без жодного дозволу, ефективні дозволи завжди показують: " Створити папку / додати дані " для всіх облікових записів домену. Отже, я перевірив це за допомогою деяких акаунтів, щоб підтвердити, що ... Так, це працює ...

Виведення icacls на частку (з використанням icacls C:\SHARE):

C:\SHARE AUTORITE NT\System:(I)(OI)(CI)(F)
     BUILTIN\Administrators:(I)(OI)(CI)(F)
     BUILTIN\Utilisators:(I)(OI)(CI)(RX)
     BUILTIN\Utilisators:(I)(CI)(AD)
     BUILTIN\Users:(I)(CI)(WD)
     CREATEUR PROPRIETAIRE:(I)(OI)(CI)(IO)(F)

Я шукав подібні проблеми, але виявив лише навпаки.

Клієнтами користуються Windows 7.

Я не впевнений, що робити далі для усунення несправностей або вирішення.

Оновлення

Він добре працює на Windows Server 2003 R2, використовуючи той самий клієнт Windows 7.

Я також протестував (на R2 2008 р.) З повним контролем та модифікацією для всіх, хто має дозволи на пайову доступ та NTFS RX (Read and Execute). Але хороших результатів немає ...

permissions  network-shares  windows-server-2008-r2  smb  icacls 
snariom38
джерело
Швидка думка -> Перевірте, чи немає облікових записів у групі адміністраторів домену в AD, якщо це можливо. Перевірте, до яких груп належать облікові записи користувачів із проблемою з боку AD.
Pimp Juice IT
Так! Ти все гаразд! Я був опосередковано вбудованими адміністраторами ... Тож це вирішується забороною спадкування з папки спільного доступу та застосуванням нових свіжих дозволів на неї.
snariom38

Відповіді:

1

Усі акції, включаючи адміністративні акції як c $, дозволяють усім користувачам створювати дані та створювати папки.

За замовчуванням для місцевих адміністраторів та групи адміністраторів домену (коли це застосовано) дозволено дозволити адміністративні спільні доступності в Windows, тому див. Два нижче пропозиції щодо того, що перевірити членство в групі, щоб зрозуміти, чи саме це викликає те, що ви пояснюєте.

Локальний сервер

Перевірте, чи немає облікових записів у локальній групі адміністраторів на локальному сервері. Перевірте, які групи користувачів облікових записів із проблемами знаходяться на цьому рівні на всякий випадок.

Домен

Перевірте, чи немає облікових записів у групі адміністраторів домену в AD. Перевірте, до яких груп належать облікові записи користувачів із проблемою з боку AD.

Pimp Juice IT
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.