Почему удаление группы EVERYONE препятствует доступу администратора к домену?


11

Это связано с этим вопросом:

Группе администраторов домена отказано в доступе к диску d:

У меня есть рядовой сервер в совершенно новой среде лаборатории AD.

  • У меня есть пользователь Active Directory, ADMIN01который является членом Domain Adminsгруппы

  • Domain AdminsГлобальная группа является членом местного сервера - члена Administratorsгруппы

  • Следующие разрешения настроены для корня моего нового D:диска, добавленного после того, как сервер стал членом домена:

    Все - Специальные разрешения - Только эта папка
      Переместить папку / выполнить файл
      Список папок / чтение данных
      Читать атрибуты
      Читать расширенные атрибуты

    ВЛАДЕЛЕЦ СОЗДАТЕЛЯ - Специальные разрешения - Только подпапки и файлы
      Полный контроль

    SYSTEM - эта папка, подпапки и файлы
      Полный контроль

    Администраторы - это папки, подпапки и файлы
      Полный контроль

В приведенных выше списках ACL пользователь домена ADMIN01может войти в систему и получить доступ к D:диску, создавать папки и файлы, и все хорошо.

Если я удалю Everyoneразрешение из корня этого диска, то не встроенные пользователи, которые являются членами Domain Admins(например ADMIN01) группы, больше не смогут получить доступ к диску. AdministratorУчетная запись домена в порядке.

Локальный компьютер Administratorи Domain Adminучетная запись «Администратор» по-прежнему имеют полный доступ к диску, но любому «обычному» пользователю, который был добавлен, Domain Adminsотказано в доступе.

Это происходит независимо от того, создал ли я том и удалил Everyoneразрешение, вошедшее в систему как локальный компьютер, Administratorили выполнил это как Domain Adminучетную запись «Администратор».

Как упоминалось в моем предыдущем вопросе, обходной путь заключается в том, чтобы отключить политику «Контроль учетных записей пользователей: запускать всех администраторов в режиме одобрения администратором» либо локально на рядовом сервере, либо через общедоменный объект групповой политики.

Почему удаление Everyoneучетной записи из D:ACL вызывает эту проблему у не встроенных пользователей, которым предоставлено членство Domain Admins?

Кроме того, почему этим типам не встроенных Domain Adminпользователей не предлагается повышать свои разрешения, а не просто отказывать в доступе к диску?

Ответы:


10

Я сам это заметил. Что происходит, так это то, что UAC начинает работать, потому что вы используете членство «локальных администраторов» для получения доступа к диску, и это именно то, что контролирует UAC.

Для файловых серверов моя личная рекомендация - никогда не использовать группу «Администраторы» для предоставления разрешений пользователям.

Попробуйте это: создайте группу AD с именем «FileServerAdmins» или любую другую, добавьте в нее своего пользователя (или группу администраторов домена). Предоставьте этой группе доступ к D-диску с теми же разрешениями, что и у существующей группы администраторов.

Вы должны заметить, что даже после удаления разрешения «Все» все члены группы «FileServerAdmins» должны иметь доступ к диску без получения запроса UAC.

Я был немного шокирован, когда обнаружил это некоторое время назад, это определенно часть UAC, которая может использовать какую-то ревизию ...


Чем больше я спотыкаюсь о сумасшедших проблемах, связанных с UAC (то есть почти ежедневно), тем больше я хочу выполнить пересмотр кода для мозгов его разработчиков ...
Massimo

7

Похоже, я не одинок в этой проблеме. Похоже, на карту поставлен вопрос о том, что не встроенные пользователи, которые Domain Adminsне совсем готовы, когда дело доходит до UAC, и к ним, похоже, относятся «специально»:

Windows Server 2008 R2 и UAC

Проблема с правами администратора и администратора домена в Windows 2008 - часть 1

Проблема с разрешениями администраторов UAC и доменов или карман, заполненный криптонитом - часть 2

Ключевой абзац из последней ссылки объясняет:

По сути, [не встроенные пользователи, которые - (добавлены мной)] администраторы домена, в отличие от ВСЕХ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ, получают два токена. Они имеют токен полного доступа (как и все остальные) и второй токен доступа, называемый отфильтрованным токеном доступа. Этот отфильтрованный токен доступа имеет административные полномочия. Explorer.exe (т. Е. Корень всех) запускается с отфильтрованным токеном доступа, и, таким образом, все запускается с ним.

Думайте об этом как RUNAS в обратном направлении. Вместо того, чтобы быть администратором домена, вы получаете статус peon. По сути, это криптонит.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.