Tại sao xóa nhóm MỌI NGƯỜI ngăn quản trị viên tên miền truy cập vào ổ đĩa?

11

Điều này có liên quan đến câu hỏi này:

Nhóm quản trị viên tên miền từ chối quyền truy cập vào d: drive

Tôi có một máy chủ thành viên trong môi trường phòng thí nghiệm AD hoàn toàn mới.

  • Tôi có một người dùng Active Directory ADMIN01là thành viên của Domain Adminsnhóm

  • Nhóm Domain Adminstoàn cầu là thành viên của Administratorsnhóm địa phương của máy chủ thành viên

  • Các quyền sau được cấu hình trên thư mục gốc của D:ổ đĩa mới của tôi được thêm sau khi máy chủ trở thành thành viên của miền:

    Mọi người - Quyền đặc biệt - Chỉ thư mục này
      Traverse thư mục / tập tin thực thi
      Danh sách thư mục / đọc dữ liệu
      Đọc thuộc tính
      Đọc thuộc tính mở rộng

    CHỦ SỞ HỮU - Quyền đặc biệt - Chỉ các thư mục con và tệp
      Kiểm soát hoàn toàn

    HỆ THỐNG - Thư mục này, thư mục con và tệp
      Kiểm soát hoàn toàn

    Quản trị viên - Thư mục này, thư mục con và tệp
      Kiểm soát hoàn toàn

Theo ACL ở trên, người dùng miền ADMIN01có thể đăng nhập và truy cập D:ổ đĩa, tạo thư mục và tệp và tất cả đều tốt.

Nếu tôi xóa Everyonequyền từ gốc của ổ đĩa này thì người dùng không tích hợp là thành viên của nhóm Domain Admins(ví dụ ADMIN01) không thể truy cập ổ đĩa nữa. AdministratorTài khoản miền vẫn ổn.

Máy cục bộ AdministratorDomain Admintài khoản "Quản trị viên" vẫn có quyền truy cập đầy đủ vào ổ đĩa, nhưng bất kỳ người dùng "thông thường" nào đã được thêm vào Domain Adminsđều bị từ chối truy cập.

Điều này xảy ra bất kể tôi đã tạo âm lượng và xóa Everyonequyền đăng nhập dưới dạng máy cục bộ Administratorhoặc liệu tôi có thực hiện việc này được đăng nhập với tư cách là Domain Admintài khoản "Quản trị viên" hay không.

Như đã đề cập trong câu hỏi trước đây của tôi, công việc xung quanh là vô hiệu hóa chính sách "Kiểm soát tài khoản người dùng: Chạy tất cả quản trị viên trong Chế độ phê duyệt của quản trị viên" cục bộ trên máy chủ thành viên hoặc thông qua GPO trên toàn miền.

Tại sao xóa Everyonetài khoản khỏi D:ACL gây ra vấn đề này cho người dùng không tích hợp được cấp quyền thành viên Domain Admins?

Ngoài ra, tại sao những loại Domain Adminngười dùng không tích hợp này không được nhắc nâng cao quyền của họ thay vì chỉ bị từ chối truy cập vào ổ đĩa?

windows  windows-server-2008  active-directory 
Kev
nguồn

Câu trả lời:

10

Tôi đã nhận thấy điều này bản thân mình. Điều gì xảy ra, là UAC khởi động bởi vì bạn đang sử dụng tư cách thành viên "quản trị viên cục bộ" của mình để có quyền truy cập vào ổ đĩa, và đây chính là điều mà UAC giám sát.

Đối với máy chủ tệp, thực tiễn tốt nhất của cá nhân tôi là không bao giờ sử dụng nhóm "Quản trị viên" để cung cấp quyền cho người dùng.

Hãy thử điều này: Tạo một nhóm AD có tên "FileServerAdmins" hoặc bất cứ điều gì, thêm người dùng của bạn (hoặc nhóm quản trị viên tên miền) vào đó. Cấp cho nhóm này quyền truy cập vào ổ đĩa D có cùng quyền với nhóm Quản trị viên hiện có.

Bạn nên lưu ý rằng ngay cả sau khi xóa quyền "Mọi người", mọi thành viên của nhóm "FileServerAdmins" vẫn có quyền truy cập vào ổ đĩa mà không cần nhận được lời nhắc UAC.

Tôi đã hơi sốc khi phát hiện ra điều này một thời gian trước đây, nó chắc chắn là một phần của UAC có thể sử dụng một số sửa đổi ...

Trondh
nguồn
Tôi càng vấp phải các vấn đề liên quan đến UAC điên rồ (nghĩa là gần như hàng ngày), tôi càng muốn thực hiện sửa đổi mã trên bộ não của các nhà phát triển của nó ...
Massimo
7

Có vẻ như tôi không đơn độc khi gặp phải vấn đề này. Vấn đề đang bị đe dọa dường như là người dùng không tích hợp, những người Domain Adminskhông hoàn toàn run rẩy khi nói đến UAC và dường như được đối xử "đặc biệt":

Windows Server 2008 R2 và UAC

Vấn đề về quyền của Quản trị viên UAC và Miền trên Windows 2008 - Phần 1

Vấn đề về quyền của quản trị viên UAC và tên miền hoặc túi đầy Kryptonite - Phần 2

Đoạn quan trọng từ liên kết cuối cùng giải thích:

Về cơ bản, [người dùng không tích hợp sẵn - (được thêm bởi tôi)] Quản trị viên tên miền, không giống như TẤT CẢ CÁC NGƯỜI SỬ DỤNG KHÁC, được cấp hai mã thông báo. Họ có mã thông báo truy cập đầy đủ (như mọi người khác) và mã thông báo truy cập thứ hai được gọi là mã thông báo truy cập được lọc. Mã thông báo truy cập được lọc này đã loại bỏ quyền hạn quản trị. Explorer.exe (tức là gốc của tất cả) được bắt đầu với mã thông báo truy cập được lọc và do đó mọi thứ được bắt đầu với nó.

Hãy nghĩ về nó như RUNAS ngược lại. Thay vì là Quản trị viên tên miền, bạn được giảm trạng thái peon. Đó là, trong thực tế, kryptonite.

Kev
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.