У меня есть обычный пользователь домена DKFOO что умеет писать в C:\Program Files\Common Files\Apple\Movile Device Support папка после запроса ее пароля.
Как администратор домена, я не хочу разрешать пользователям домена писать в этом каталоге.
Write разрешение не включено для Usersтак почему DKFOO написать в этот каталог?
Включены ли пользователи домена в Users? Если нет, почему разрешения для пользователей домена не указаны для этой папки?
Icacls:
PS C:\Program Files\Common Files\Apple\Mobile Device Support> icacls "C:\Program Files\Common Files\Apple\Mobile Device Support"
C:\Program Files\Common Files\Apple\Mobile Device Support
NT SERVICE\TrustedInstaller:(I)(F)
NT SERVICE\TrustedInstaller:(I)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(I)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
BUILTIN\Administrators:(I)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
BUILTIN\Users:(I)(RX)
BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(RX)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(RX)
APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
Вы просто проверили, кто в этой группе?
—
Seth
Да и DKFOO там нет. Каковы разрешения по умолчанию (или группы) в этом случае?
—
Shuzheng
Хорошо, вы спросили о доменных пользователях, так вы проверяли, когда эта группа существует? Кроме того, необычно получать приглашение для учетных данных обычного пользователя. Так ты что, какие разрешения он на самом деле имеет? Может быть, некоторые косвенные разрешения дают ему административные привилегии на этой машине?
—
Seth
Имя вашего домена
—
Ramhound
DK1B...? Я задал этот вопрос, потому что он выглядит почти как локальная учетная запись пользователя на машине DK1B
Можете ли вы предоставить текстовую версию? Бежать
—
Wernfried Domscheit
ICACLS "C:\Program Files\Common Files\Apple\Movile Device Support"