EVERYONE grubunun kaldırılması neden etki alanı yöneticilerinin bir sürücüye erişmesini engelliyor?

Bu, bu soru ile ilgilidir:

Domain Admins grubu d: sürücüsüne erişimi engelledi

Yepyeni bir AD laboratuvar ortamında üye sunucum var.

• Grubun ADMIN01üyesi olan bir Active Directory kullanıcısı varDomain Admins

• Genel Domain Adminsgrup, üye sunucunun yerel Administratorsgrubunun bir üyesidir

• Sunucu izin verdikten sonraD: eklenen yeni sürücümün kökünde aşağıdaki izinler yapılandırıldı :

    Herkes - Özel İzinler - Yalnızca bu klasör
      Klasörü gez / dosyayı yürüt
      Klasörü listele / verileri oku
      Öznitelikleri oku
      Genişletilmiş özellikleri okuma

    CREATOR OWNER - Özel İzinler - Yalnızca alt klasörler ve dosyalar
      Tam kontrol

    SYSTEM - Bu klasör, alt klasörler ve dosyalar
      Tam kontrol

    Yöneticiler - Bu klasör, alt klasörler ve dosyalar
      Tam kontrol

Yukarıdaki ACL'ler altında, etki alanı kullanıcısı sürücüye ADMIN01oturum açabilir ve erişebilir, D:klasörler ve dosyalar oluşturabilir ve her şey iyidir.

EveryoneBu sürücünün kökünden izni kaldırırsam, Domain Admins(ör. ADMIN01) Grubunun üyesi olan yerleşik olmayan kullanıcılar artık sürücüye erişemez. Etki alanı Administratorhesabı iyi.

Yerel makine Administratorve Domain Admin"Yönetici" hesabının sürücüye hala tam erişimi var, ancak eklenmiş olan "normal" kullanıcıların Domain Adminserişimi reddedildi.

Bu, birimi oluşturup Everyoneyerel makine olarak oturum açmış iznimi kaldırmam Administratorya da Domain Admin"Yönetici" hesabı olarak oturum açmış olmamdan bağımsız olarak gerçekleşir .

Önceki sorumda belirtildiği gibi, geçici çözüm, "Kullanıcı Hesabı Denetimi: Tüm yöneticileri Yönetici Onay Modunda Çalıştır" ilkesini yerel olarak üye sunucuda veya etki alanı genelinde bir GPO aracılığıyla devre dışı bırakmaktır .

EveryoneHesabın D:ACL'sinden kaldırılması, üyeliği verilen yerleşik olmayan kullanıcılar için neden bu soruna neden oluyor Domain Admins?

Ayrıca neden bu tür yerleşik olmayan Domain Adminkullanıcıların sürücüye erişimi reddetmek yerine izinlerini yükseltmeleri istenmiyor?

Bunu kendim fark ettim. Ne olur, UAC devreye girer, çünkü sürücüye erişmek için "yerel yöneticiler" üyeliğinizi kullanırsınız ve bu UAC'nin izlediği şeydir.

Dosya sunucuları için kişisel olarak en iyi uygulama kullanıcılara izin vermek için asla "Yöneticiler" grubunu kullanmamaktır.

Bunu deneyin: "FileServerAdmins" adlı bir AD grubu oluşturun ya da her neyse, kullanıcı (veya etki alanı yönetici grubu) grubunu ekleyin. Bu gruba, var olan Administrators grubuyla aynı izinlere sahip D sürücüsüne erişim izni verin.

"Herkes" iznini kaldırdıktan sonra bile "FileServerAdmins" grubunun herhangi bir üyesinin UAC istemini almadan sürücüye erişimi olması gerektiğini fark etmelisiniz.

Bunu bir süre önce keşfettiğimde kendimi biraz şok ettim, sanırım bazı revizyonları kullanabilen UAC'nin bir parçası ...

Görünüşe göre bu sorunla yalnız kalmıyorum. Söz konusu olan sorun, Domain AdminsUAC söz konusu olduğunda tam bir şilin olmayan ve "özel" olarak ele alınan yerleşik olmayan kullanıcıların olduğu gibi görünüyor:

Windows Server 2008 R2 ve UAC

Windows 2008'de UAC ve Domain Admins izinleri sorunu - Bölüm 1

UAC ve Domain Admins İzinler Sorunu veya Cep Kriptonit Dolu - Bölüm 2

Son bağlantıdaki ana paragraf şunları açıklar:

Temel olarak, [yerleşik olmayan kullanıcılara - (benim eklediğim)] Etki Alanı Yöneticilerine, TÜM DİĞER KULLANICILAR'ın aksine, iki jeton verilir. Tam erişim belirteci (herkes gibi) ve filtrelenmiş erişim belirteci olarak adlandırılan ikinci bir erişim belirtecine sahiptir. Bu filtrelenmiş erişim belirteci yönetimsel yetkileri kaldırmıştır. Explorer.exe (yani hepsinin kökü) filtrelenmiş erişim belirteciyle başlatılır ve böylece her şey onunla başlar.

Tersine RUNAS olduğunu düşünün. Etki Alanı Yöneticisi olmak yerine, peon durumuna indirgenirsiniz. Aslında kriptonittir.