Làm cách nào để ẩn các thư mục khỏi Quản trị viên cục bộ bằng cách sử dụng Bảng liệt kê dựa trên truy cập?

0

Chúng tôi hiện đang sử dụng Bảng liệt kê dựa trên truy cập trong máy chủ AD của chúng tôi. Thật tuyệt vời: chia sẻ MỘT thư mục và đặt quyền và "BÙM!" công trinh. Nhưng tôi đã nhận thấy rằng các Quản trị viên địa phương đang nhìn thấy các thư mục mà họ không có quyền truy cập. Làm thế nào tôi có thể tránh điều đó?

Quản trị viên địa phương, trong trường hợp của chúng tôi, là những đặc quyền chỉ dành cho một số người nhất định (người dùng thông thường không phải là IT như người quản lý và thực tập sinh CNTT của chúng tôi). Ngay cả khi họ không có quyền truy cập vào nội dung, danh sách các thư mục rất lớn và một số người dùng bị nhầm lẫn.

Tôi đang chạy Windows Server 2012 R2.

security  permissions  active-directory  windows-server  access-based-enumeration 
msmafra
nguồn
Khi bật ABE, người dùng sẽ chỉ nhìn thấy các thư mục mà ít nhất họ có quyền Đọc. Những người dùng này có phải là Quản trị viên trên máy chủ lưu trữ chia sẻ hoặc trên các máy khách đang kết nối với máy chủ không?
Kẻ giả mạo Twisty
Chào. Đối với những người dùng này, chúng tôi cung cấp đặc quyền quản trị viên cục bộ chèn trong nhóm cục bộ.
msmafra
có, nhưng trên máy nào? Nó làm cho một sự khác biệt rất lớn.
Kẻ giả mạo Twisty
Chèn vào mỗi máy tính của người dùng bu GPO hoặc bằng tay. Những người dùng này cũng bị giới hạn đăng nhập trên máy tính khu vực của họ.
msmafra
Trên máy chủ, xem trang thuộc tính Bảo mật của một trong các thư mục và trong nút Nâng cao, hãy xem tab Truy cập hiệu quả. Ở đó, đặt một trong những người dùng này và xem họ có quyền truy cập nào. Gửi một ảnh chụp màn hình xin vui lòng.
Kẻ giả mạo Twisty

Câu trả lời:

0

Bảng liệt kê dựa trên truy cập hoạt động như sau như được giải thích trên TechNet :

Bảng liệt kê dựa trên truy cập chỉ hiển thị các tệp và thư mục mà người dùng có quyền truy cập. Nếu người dùng không có quyền Đọc (hoặc tương đương) cho một thư mục, Windows sẽ ẩn thư mục đó khỏi chế độ xem của người dùng. Tính năng này chỉ hoạt động khi xem các tệp và thư mục trong một thư mục dùng chung; nó không hoạt động khi xem các tập tin và thư mục trong hệ thống tập tin cục bộ.

Bạn có thể xem quyền truy cập hiệu quả của những người dùng mà bạn không muốn xem một số thư mục nhất định bằng cách thực hiện các thao tác sau trên máy chủ lưu trữ thư mục dùng chung có chứa các thư mục mà bạn muốn ẩn bằng cách liệt kê dựa trên Access:

  1. Bấm chuột phải vào thư mục không hiển thị cho người dùng và chọn Thuộc tính
  2. Trên tab Bảo mật, nhấp vào Nâng cao
  3. Chuyển đến tab Truy cập hiệu quả
  4. Bấm Chọn người dùng, sau đó nhập tên của người dùng vào hộp thoại và bấm OK
  5. Nhấp vào Xem truy cập hiệu quả . Nếu người dùng có quyền ** Danh sách thư mục / đọc dữ liệu **, thì họ sẽ có thể thấy thư mục ngay cả khi đã bật ABE: nhập mô tả hình ảnh ở đây

Nếu người dùng trong câu hỏi có quyền truy cập không mong muốn vào thư mục, hãy xem lại quyền của họ đối với thư mục để xác định cách người dùng nhận được chúng.

Kẻ giả mạo xoắn
nguồn
CHÀO! Cảm ơn câu trả lời. Tôi sẽ kiểm tra nó. Tôi hoàn toàn quên mất Truy cập hiệu quả tồn tại. Ngay khi tôi phát hiện ra những gì đã xảy ra với Bản sao DFS của chúng tôi, tôi sẽ kiểm tra nó. Cảm ơn rất nhiều!
msmafra
@tenshimsm Bạn có muốn nói rằng chia sẻ mà bạn đã kích hoạt ABE trên thực tế là chỉ vào một không gian tên DFS không?
Kẻ giả mạo Twisty
Vâng, cũng vậy.
msmafra
@tenshimsm Chà .... DFS-N không chơi tốt với ABE. Xem những gì bạn tìm thấy nhưng tôi nghĩ bạn sẽ phải đối mặt với việc phải sử dụng các thư mục DFS nếu bạn thực sự muốn ABE hoạt động.
Kẻ giả mạo Twisty
ABE đang hoạt động tốt, ngay cả trong DFS. Chỉ cần danh sách đầy đủ các thư mục cho các quản trị viên địa phương là gây phiền nhiễu. Chỉ cần sao chép quyết định mà không muốn ... sao chép. nói là đang chạy / làm việc / làm việc của nó nhưng không đồng bộ hóa các máy chủ.
msmafra
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.