NTFS - Quản trị viên tên miền không có quyền mặc dù là một phần của nhóm Quản trị viên cục bộ


8

Theo nhân viên "Thực tiễn tốt nhất" trong bộ phận CNTT của chúng tôi có hai tài khoản. Tài khoản không có đặc quyền và tài khoản là thành viên của nhóm Quản trị viên tên miền toàn cầu ($ DOMAIN \ Quản trị viên tên miền). Trên các máy chủ tệp của chúng tôi, nhóm Quản trị viên tên miền được thêm vào nhóm Quản trị viên cục bộ ($ SERVER \ Quản trị viên). Nhóm Quản trị viên cục bộ có Toàn quyền được cấp trên các thư mục này. Khá chuẩn.

Tuy nhiên, nếu tôi đăng nhập vào máy chủ bằng tài khoản Quản trị viên tên miền của mình để truy cập vào thư mục đó, tôi cần phê duyệt lời nhắc UAC có nội dung: "Bạn hiện không có quyền truy cập vào thư mục này. Nhấp vào để tiếp tục truy cập vĩnh viễn vào thư mục này. " Nhấp vào tiếp tục cung cấp quyền tài khoản Quản trị viên tên miền của tôi trên thư mục đó và mọi thứ khác bên dưới mặc dù $ SERVER \ Quản trị viên (trong đó tôi là thành viên thông qua nhóm Quản trị viên tên miền) đã có Kiểm soát hoàn toàn.

Ai đó có thể giải thích hành vi này không và cách thích hợp để quản lý quyền NTFS cho chia sẻ tệp có liên quan đến quyền Quản trị với Server 2008 R2 và UAC không?


Quản lý hệ thống từ xa hoặc vô hiệu hóa UAC.
Zoredache

2
Tôi không đồng ý với bất kỳ ai đề nghị vô hiệu hóa UNC. Truy cập các tệp qua UNC - Tôi tin rằng điều này sẽ hoạt động ngay cả trên máy chủ cục bộ.
Multiverse IT

Tôi không thể chịu được hành vi này trong WS2008 + nhưng phải đồng ý với khuyến nghị của @ MultiverseIT để UAC một mình.
SturdyErde

Câu trả lời:


11

Đúng, UAC được kích hoạt khi một chương trình yêu cầu đặc quyền của quản trị viên. Chẳng hạn như Explorer, yêu cầu đặc quyền của quản trị viên, vì đó là những gì mà các ACL NTFS trên các tệp và thư mục đó yêu cầu.

Bạn có bốn lựa chọn tôi biết.

  1. Vô hiệu hóa UAC trên máy chủ của bạn.

    • Dù sao tôi cũng làm điều này (trong trường hợp chung) và sẽ lập luận rằng nếu bạn cần UAC trên máy chủ, có lẽ bạn đã làm sai, vì nói chung, chỉ quản trị viên mới nên đăng nhập vào máy chủ và họ nên biết họ đang làm gì đang làm.

  2. Quản lý các quyền từ một giao diện nâng cao

    • cmdCửa sổ nâng cao , PScửa sổ hoặc phiên bản Explorer đều hoạt động để tránh cửa sổ bật lên UAC. ( Run As Administrator)

  3. Quản lý quyền NTFS từ xa

    • Kết nối qua UNC từ một máy không bật UAC.

  4. Tạo một nhóm không quản trị bổ sung có quyền truy cập đầy đủ trong ACL NTFS cho tất cả các tệp và thư mục bạn muốn thao tác và gán quản trị viên của mình cho nhóm đó.

    • Cửa sổ bật lên UAC sẽ không (không nên) được kích hoạt, vì Explorer sẽ không còn yêu cầu đặc quyền Quản trị nữa, vì quyền truy cập vào các tệp được cấp thông qua một nhóm phi hành chính khác.

2
Danh sách tốt. Một lưu ý: nếu bạn quản lý các quyền NTFS từ xa, việc UAC có được bật hay không đối với hệ thống mà bạn đang quản lý không thành vấn đề. Nó sẽ không nhắc khi sửa đổi ACL trên máy chủ từ xa.
SturdyErde

1
Yay! Tùy chọn 4 hoạt động tốt :)
CrazyTim

Một cái gì đó đưa tôi trở lại Q / A này và tôi phải xem lại nhận xét trước đây của mình. Danh sách này là tốt ngoại trừ gợi ý đầu tiên của bạn. Nếu bạn cần tắt UAC trên máy chủ, bạn đã làm sai. Nếu bạn phải quản lý các thư mục cục bộ trên máy chủ (một lần nữa, làm sai) :) thì điều bạn có thể làm là thêm một ACE vào cấu trúc thư mục của bạn cấp quyền bảo mật "TƯƠNG TÁC" cho phép "Liệt kê nội dung". Điều này sẽ cho phép quản trị viên duyệt cấu trúc thư mục mà không cần nhắc UAC.
SturdyErde

Thật thú vị, tùy chọn 4 không hoạt động với tôi (Máy chủ 2016). Tuy nhiên, việc cấp nguyên tắc bảo mật TƯƠNG TÁC 'Thư mục danh sách' và 'Quyền đọc' đã hoạt động. Nhưng đó không phải là những gì tôi cảm thấy thoải mái khi sử dụng.
Brad Bamford

1

Cách tốt nhất là thay đổi khoá đăng ký tại

đăng ký :: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ chính sách \ system; khóa = EnableLUA

Đảm bảo rằng nó được đặt thành Giá trị 0 để tắt nó. Bạn cần khởi động lại để làm cho nó có hiệu lực. Giao diện có thể hiển thị nó như bị vô hiệu hóa trong khi đăng ký được kích hoạt.


Thực hiện thay đổi sổ đăng ký này sẽ vô hiệu hóa UAC và không được khuyến khích bởi các thực tiễn tốt nhất của Microsoft.
Joshua Hanley

1

Đặt cả hai chính sách này cho các thành viên của nhóm Quản trị viên cục bộ để có thể thay đổi tệp và kết nối với chia sẻ của quản trị viên:

nhập mô tả hình ảnh ở đây

Khởi động lại sẽ được yêu cầu sau khi thực hiện những thay đổi này.


Không chắc chắn nếu phương pháp này thực sự hoạt động, nhưng nó làm giảm bảo mật tổng thể và không cần thiết để giải quyết vấn đề. Hai giải pháp làm việc đã được cung cấp mà không làm giảm an ninh.
SturdyErde

Phương pháp này không hoạt động. Làm thế nào điều này làm giảm an ninh trong khi những phương pháp khác không? Cả hai đều đề nghị vô hiệu hóa hoàn toàn UAC (mặc dù câu trả lời được chấp nhận cung cấp một số tùy chọn khác). Điều này giữ UAC, nhưng cho phép các thành viên của nhóm Quản trị viên thực sự sử dụng các quyền được đặt trên UAC. Đây dường như là phương pháp tốt nhất với tôi.
Sắp xếp

Phương pháp này sẽ hoạt động, nhưng vô hiệu hóa UAC Chế độ phê duyệt của quản trị viên bằng cách vô hiệu hóa mã thông báo phân tách bảo mật cho phép một người đăng nhập với tư cách quản trị viên mà không cần thực hiện đăng nhập Windows tương đương với root. Khi AAM bị vô hiệu hóa, tất cả các quy trình được chạy bởi tài khoản của quản trị viên sẽ chạy với toàn quyền quản trị viên, thay vì chỉ những quyền yêu cầu các quyền đó và được quản trị viên phê duyệt thông qua lời nhắc UAC. Đây là một phần cốt lõi của UAC và bạn không nên vô hiệu hóa nó. Xem câu trả lời của @ HoplessN00b để biết nhiều lựa chọn ưu việt.
Joshua Hanley

0

Bạn cũng có thể tắt chế độ Phê duyệt của quản trị viên cho quản trị viên thông qua GPO hoặc trong Chính sách bảo mật cục bộ.

Chính sách bảo mật cục bộ \ Cài đặt bảo mật \ Chính sách cục bộ \ Tùy chọn bảo mật \ Kiểm soát tài khoản người dùng: Chạy tất cả quản trị viên ở Chế độ phê duyệt của quản trị viên - Đã tắt

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.