Это связано с этим вопросом:
У меня есть рядовой сервер в совершенно новой среде лаборатории AD.
У меня есть пользователь Active Directory,
ADMIN01
который является членомDomain Admins
группыDomain Admins
Глобальная группа является членом местного сервера - членаAdministrators
группыСледующие разрешения настроены для корня моего нового
D:
диска, добавленного после того, как сервер стал членом домена:
Все - Специальные разрешения - Только эта папка Переместить папку / выполнить файл Список папок / чтение данных Читать атрибуты Читать расширенные атрибуты ВЛАДЕЛЕЦ СОЗДАТЕЛЯ - Специальные разрешения - Только подпапки и файлы Полный контроль SYSTEM - эта папка, подпапки и файлы Полный контроль Администраторы - это папки, подпапки и файлы Полный контроль
В приведенных выше списках ACL пользователь домена ADMIN01
может войти в систему и получить доступ к D:
диску, создавать папки и файлы, и все хорошо.
Если я удалю Everyone
разрешение из корня этого диска, то не встроенные пользователи, которые являются членами Domain Admins
(например ADMIN01
) группы, больше не смогут получить доступ к диску. Administrator
Учетная запись домена в порядке.
Локальный компьютер Administrator
и Domain Admin
учетная запись «Администратор» по-прежнему имеют полный доступ к диску, но любому «обычному» пользователю, который был добавлен, Domain Admins
отказано в доступе.
Это происходит независимо от того, создал ли я том и удалил Everyone
разрешение, вошедшее в систему как локальный компьютер, Administrator
или выполнил это как Domain Admin
учетную запись «Администратор».
Как упоминалось в моем предыдущем вопросе, обходной путь заключается в том, чтобы отключить политику «Контроль учетных записей пользователей: запускать всех администраторов в режиме одобрения администратором» либо локально на рядовом сервере, либо через общедоменный объект групповой политики.
Почему удаление Everyone
учетной записи из D:
ACL вызывает эту проблему у не встроенных пользователей, которым предоставлено членство Domain Admins
?
Кроме того, почему этим типам не встроенных Domain Admin
пользователей не предлагается повышать свои разрешения, а не просто отказывать в доступе к диску?