Dlaczego usunięcie grupy KAŻDY uniemożliwia administratorom domeny dostęp do dysku?

12

Jest to związane z tym pytaniem:

Grupa Administratorzy domeny odmówiła dostępu do dysku d:

Mam serwer członkowski w zupełnie nowym środowisku AD Lab.

  • Mam użytkownika usługi Active Directory, ADMIN01który jest członkiem Domain Adminsgrupy

  • Grupa Domain Adminsglobalna jest członkiem lokalnej Administratorsgrupy serwera członkowskiego

  • Następujące uprawnienia są skonfigurowane w katalogu głównym mojego nowego D:dysku dodanego po tym, jak serwer stał się członkiem domeny:

    Wszyscy - uprawnienia specjalne - tylko ten folder
      Przejdź do folderu / pliku wykonawczego
      Lista folderów / odczytanych danych
      Czytaj atrybuty
      Przeczytaj rozszerzone atrybuty

    WŁAŚCICIEL TWÓRCY - uprawnienia specjalne - tylko podfoldery i pliki
      Pełna kontrola

    SYSTEM - ten folder, podfoldery i pliki
      Pełna kontrola

    Administratorzy - ten folder, podfoldery i pliki
      Pełna kontrola

Zgodnie z powyższymi listami ACL użytkownik domeny ADMIN01może zalogować się i uzyskać dostęp do D:dysku, tworzyć foldery i pliki i wszystko jest w porządku.

Jeśli usunę Everyoneuprawnienia z katalogu głównego tego dysku, nie wbudowani użytkownicy, którzy są członkami Domain Admins(np. ADMIN01) Grupy, nie będą już mieć dostępu do dysku. AdministratorKonto domeny jest w porządku.

Komputer lokalny Administratori Domain Adminkonto „Administrator” nadal mają pełny dostęp do dysku, ale każdemu „zwykłemu” użytkownikowi, który został dodany, Domain Adminsodmawia się dostępu.

Dzieje się tak niezależnie od tego, czy utworzyłem wolumin i usunąłem Everyoneuprawnienie zalogowane jako komputer lokalny, Administratorczy też wykonuję to zalogowanie jako Domain Adminkonto „Administrator”.

Jak wspomniano w moim poprzednim pytaniu, obejście polega na wyłączeniu zasady „Kontrola konta użytkownika: Uruchom wszystkich administratorów w trybie zatwierdzania przez administratora” lokalnie na serwerze członkowskim lub za pośrednictwem obiektu zasad grupy w całej domenie.

Dlaczego usunięcie Everyonekonta z listy D:ACL powoduje ten problem dla użytkowników niewbudowanych, którym przyznano członkostwo Domain Admins?

Również dlaczego tego rodzaju użytkownicy nie są wbudowani w Domain Adminmonit o podniesienie swoich uprawnień, a nie po prostu odmawiają dostępu do dysku?

windows windows-server-2008 active-directory Kev
źródło

Odpowiedzi:

10

Sam to zauważyłem. To, co się dzieje, polega na tym, że UAC uruchamia się, ponieważ używasz członkostwa „lokalnych administratorów”, aby uzyskać dostęp do dysku, i właśnie to monitoruje UAC.

W przypadku serwerów plików moją osobistą najlepszą praktyką jest nigdy nie używać grupy „Administratorzy” w celu udzielania uprawnień użytkownikom.

Spróbuj: Utwórz grupę AD o nazwie „FileServerAdmins” lub cokolwiek innego, dodaj do niej użytkownika (lub grupę administracyjną domeny). Daj tej grupie dostęp do napędu D z tymi samymi uprawnieniami, co istniejąca grupa Administratorzy.

Należy zauważyć, że nawet po usunięciu uprawnienia „Wszyscy” wszyscy członkowie grupy „FileServerAdmins” powinni nadal mieć dostęp do dysku, bez wyświetlania monitu UAC.

Byłem trochę zszokowany, gdy odkryłem to jakiś czas temu, to zdecydowanie część UAC, która mogłaby skorzystać z niektórych poprawek ...

Trondh
źródło
Im bardziej natknę się na zwariowane problemy związane z UAC (tj. Prawie codziennie), tym bardziej chcę przeprowadzić rewizję kodu w mózgach programistów ...
Massimo
8

Wygląda na to, że nie jestem sam w rozwiązywaniu tego problemu. Problemem wydaje się być to, że użytkownicy niewbudowani, którzy Domain Adminsnie są w pełni szykowni, jeśli chodzi o UAC i wydają się być traktowani „specjalnie”:

Windows Server 2008 R2 i UAC

Problem uprawnień administratora konta użytkownika i domeny w systemie Windows 2008 - część 1

UAC i administratorzy domeny Wydanie uprawnień lub kieszeń pełna kryptonitu - część 2

Kluczowy akapit z ostatniego linku wyjaśnia:

Zasadniczo [niewbudowani użytkownicy, którzy są - (dodani przeze mnie]] Administratorzy domeny, w przeciwieństwie do WSZYSTKICH INNYCH UŻYTKOWNIKÓW, otrzymują dwa tokeny. Mają token pełnego dostępu (jak wszyscy inni) i drugi token dostępu nazywany tokenem filtrowanego dostępu. Ten filtrowany token dostępu ma uprawnienia administracyjne usunięte. Explorer.exe (tzn. Główny katalog wszystkich) jest uruchamiany za pomocą filtrowanego tokena dostępu, a zatem wszystko zaczyna się od niego.

Pomyśl o tym, jak RUNAS na odwrót. Zamiast być administratorem domeny, zostajesz zredukowany do statusu peon. Jest to w rzeczywistości kryptonit.

Kev
źródło