Perché la rimozione del gruppo EVERYONE impedisce agli amministratori di dominio di accedere a un'unità?

12

Questo è legato a questa domanda:

Il gruppo Domain Admins ha negato l'accesso a d: drive

Ho un server membro in un nuovissimo ambiente di laboratorio AD.

  • Ho un utente di Active Directory ADMIN01che è un membro del Domain Adminsgruppo

  • Il Domain Adminsgruppo globale è un membro del Administratorsgruppo locale del server membro

  • Le seguenti autorizzazioni sono configurate sulla radice della mia nuova D:unità aggiunta dopo che il server è diventato un membro del dominio:

    Tutti - Autorizzazioni speciali - Solo questa cartella
      Attraversa cartella / esegui file
      Elenca cartella / leggi dati
      Leggi gli attributi
      Leggi gli attributi estesi

    PROPRIETARIO CREATORE - Autorizzazioni speciali - Solo sottocartelle e file
      Pieno controllo

    SISTEMA - Questa cartella, sottocartelle e file
      Pieno controllo

    Amministratori: questa cartella, sottocartelle e file
      Pieno controllo

Sotto le ACL di cui sopra l'utente del dominio ADMIN01può accedere e accedere D:all'unità, creare cartelle e file e tutto va bene.

Se rimuovo l' Everyoneautorizzazione dalla radice di questa unità, gli utenti non integrati che sono membri del gruppo Domain Admins(ad es. ADMIN01) Non possono più accedere all'unità. L' Administratoraccount del dominio va bene.

Macchina locale Administratore la Domain Admin"Administrator" conto ancora avere pieno accesso al disco, ma qualsiasi utente "normale" che è stato aggiunto alla Domain Adminsviene negato l'accesso.

Ciò accade indipendentemente dal fatto che abbia creato il volume e rimosso le Everyoneautorizzazioni di accesso come computer locale Administratoro se eseguo l'accesso come Domain Adminaccount "Amministratore".

Come accennato nella mia domanda precedente, la soluzione è disabilitare il criterio "Controllo account utente: Esegui tutti gli amministratori in modalità Approvazione amministratore" localmente sul server membro o tramite un oggetto Criteri di gruppo a livello di dominio.

Perché la rimozione Everyonedell'account D:dall'ACL causa questo problema agli utenti non predefiniti a cui è stata concessa l'iscrizione Domain Admins?

Inoltre, perché questi tipi di utenti non integrati non sono Domain Adminobbligati a elevare le proprie autorizzazioni anziché semplicemente negare l'accesso all'unità?

windows  windows-server-2008  active-directory 
kev
fonte

Risposte:

10

L'ho notato anch'io. Quello che succede è che l'UAC entra in azione perché stai usando l'appartenenza agli "amministratori locali" per ottenere l'accesso all'unità, e questo è esattamente ciò che monitora l'UAC.

Per i file server, la mia best practice personale è di non utilizzare mai il gruppo "Amministratori" per fornire autorizzazioni agli utenti.

Prova questo: crea un gruppo AD chiamato "FileServerAdmins" o qualsiasi altra cosa, aggiungi il tuo utente (o gruppo admin di dominio). Concedere a questo gruppo l'accesso all'unità D con le stesse autorizzazioni del gruppo di amministratori esistente.

Si dovrebbe notare che anche dopo aver rimosso l'autorizzazione "Tutti" tutti i membri del gruppo "FileServerAdmins" dovrebbero avere ancora accesso all'unità, senza ottenere il prompt UAC.

Sono rimasto un po 'scioccato quando l'ho scoperto qualche tempo fa, è sicuramente una parte del controllo dell'account utente che potrebbe utilizzare alcune revisioni ...

Trondh
fonte
Più incappo in folli problemi relativi al controllo dell'account utente (ovvero, quasi quotidianamente), più voglio eseguire una revisione del codice sul cervello dei suoi sviluppatori ...
Massimo
8

Sembra che non sia il solo a riscontrare questo problema. Il problema in questione sembra essere che gli utenti non integrati che Domain Adminsnon sono completamente scellini quando si tratta di Controllo dell'account utente e sembrano essere trattati "appositamente":

Windows Server 2008 R2 e UAC

Problema di autorizzazioni UAC e Domain Admins su Windows 2008 - Parte 1

Problema di autorizzazioni di controllo account utente e dominio o Pocket Full di Kryptonite - Parte 2

Il paragrafo chiave dell'ultimo link spiega:

Fondamentalmente, [gli utenti non integrati che sono - (aggiunti da me)] gli amministratori di dominio, a differenza di TUTTI GLI ALTRI UTENTI, ricevono due token. Hanno il token di accesso completo (come tutti gli altri) e un secondo token di accesso denominato token di accesso filtrato. Questo token di accesso filtrato ha i poteri amministrativi rimossi. Explorer.exe (ovvero la radice di tutto) viene avviato con il token di accesso filtrato e quindi tutto viene avviato con esso.

Pensa che è come RUNAS al contrario. Invece di essere un amministratore di dominio sei ridotto allo stato peon. È, in effetti, kryptonite.

kev
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.