NTFS - администраторы домена не имеют разрешений, несмотря на то, что являются частью группы локальных администраторов

Согласно «Best Practices» сотрудники нашего ИТ-отдела имеют две учетные записи. Непривилегированная учетная запись и учетная запись, которая является членом глобальной группы администраторов домена ($ DOMAIN \ Domain Admins). На наших файловых серверах группа «Администраторы домена» добавляется в группу локальных администраторов ($ SERVER \ Administrators). Локальная группа администраторов имеет полный доступ к этим каталогам. Довольно стандартный.

Однако, если я войду на сервер с моей учетной записью администратора домена, чтобы перейти в этот каталог, мне нужно утвердить приглашение UAC, которое говорит: «У вас нет разрешения на доступ к этой папке. Нажмите« Продолжить », чтобы навсегда получить доступ к эта папка. " Нажатие кнопки «Продолжить» дает моей учетной записи администратора домена разрешения на эту папку и все остальное под ней, несмотря на то, что $ SERVER \ Administrators (членом которой я являюсь через группу администраторов домена) уже имеет полный контроль.

Может кто-нибудь объяснить это поведение и как правильно управлять разрешениями NTFS для общих файловых ресурсов в отношении прав администратора с Server 2008 R2 и UAC?

Да, UAC запускается, когда программа запрашивает привилегии администратора. Например, Explorer, запрашивающий права администратора, потому что это то, что требуется ACFS NTFS для этих файлов и папок.

У меня есть четыре варианта, о которых я знаю.

1. Отключите UAC на своих серверах.

   • Я делаю это в любом случае (в общем случае) и утверждаю, что если вам нужен UAC на сервере, вы, вероятно, делаете это неправильно, потому что в целом только администраторы должны входить на серверы, и они должны знать, что они делает.
     
     

2. Управление разрешениями от повышенного интерфейса

   • Повышенное cmdокно, PSокно или экземпляр Explorer все работают для предотвращения всплывающего окна UAC. ( Run As Administrator)
     
     

3. Управляйте разрешениями NTFS удаленно

   • Подключитесь через UNC с компьютера, на котором не включен UAC.
     
     

4. Создайте дополнительную неадминистративную группу, которая имеет полный доступ в списках ACL NTFS ко всем файлам и папкам, которыми вы хотите манипулировать, и назначьте ей администраторов.

   • Всплывающее окно UAC не будет (не должно) запускаться, потому что Explorer больше не будет требовать административных привилегий, поскольку доступ к файлам предоставляется через другую, неадминистративную группу.

Лучший способ - изменить ключ реестра в

реестра :: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ система; ключ = EnableLUA

Убедитесь, что для него установлено значение 0, чтобы отключить его. Вам нужно перезагрузить компьютер, чтобы он вступил в силу. Интерфейс может отображать его как отключенный при включенном реестре.

Установите обе эти политики, чтобы члены локальной группы администраторов могли изменять файлы и подключаться к общим ресурсам администратора:

После внесения этих изменений потребуется перезагрузка.

Вы также можете отключить режим одобрения администратора для администраторов через GPO или в локальной политике безопасности.

Локальная политика безопасности \ Параметры безопасности \ Локальные политики \ Параметры безопасности \ Контроль учетных записей пользователей: запускать всех администраторов в режиме одобрения администратором - отключено