NTFS - Gli amministratori di dominio non dispongono delle autorizzazioni nonostante facciano parte del gruppo degli amministratori locali

8

Secondo le "Best Practices", il personale del nostro dipartimento IT ha due account. Un account senza privilegi e un account membro del gruppo globale Domain Admins ($ DOMAIN \ Domain Admins). Sui nostri file server il gruppo Domain Admins viene aggiunto al gruppo Administrators locale ($ SERVER \ Administrators). Il gruppo di amministratori locali ha il controllo completo concesso su queste directory. Piuttosto standard.

Tuttavia, se eseguo l'accesso al server con il mio account di amministratore di dominio per scendere in quella directory, devo approvare un prompt UAC che dice "Attualmente non sei autorizzato ad accedere a questa cartella. Fai clic su continua per accedere in modo permanente a questa cartella ". Se si fa clic su Continua, si ottengono le autorizzazioni del mio account di amministratore di dominio su quella cartella e su qualsiasi altra cosa, nonostante $ SERVER \ Administrators (di cui sono membro tramite il gruppo Domain Admins) che abbia già il controllo completo.

Qualcuno può spiegare questo comportamento e qual è il modo appropriato di gestire le autorizzazioni NTFS per le condivisioni di file per quanto riguarda i diritti amministrativi con Server 2008 R2 e UAC?

active-directory  windows-server-2008-r2  permissions  ntfs  uac 
Gestisci il sistema in remoto o disabilita l'UAC.
Zoredache,
2
Non sono d'accordo con nessuno che consiglia di disabilitare UNC. Accedi ai file tramite UNC: credo che funzionerà anche sul server locale.
Multiverso IT
Non posso sopportare questo comportamento in WS2008 +, ma devo essere d'accordo con la raccomandazione di @ MultiverseIT di lasciare UAC da solo.
Robusto Erde,

Risposte:

11

Bene, UAC viene attivato quando un programma richiede i privilegi di amministratore. Come Explorer, che richiede i privilegi di amministratore, perché è quello che richiedono gli ACL NTFS su quei file e cartelle.

Hai quattro opzioni di cui sono a conoscenza.

  1. Disabilita UAC sui tuoi server.

    • Lo faccio comunque (nel caso generale), e direi che se hai bisogno di UAC su un server, probabilmente stai sbagliando, perché in generale, solo gli amministratori dovrebbero accedere ai server e dovrebbero sapere cosa stanno facendo.

  2. Gestisci le autorizzazioni da un'interfaccia elevata

    • cmdFinestra, PSfinestra o istanza Explorer elevata funzionano tutte per evitare il popup UAC. ( Run As Administrator)

  3. Gestire le autorizzazioni NTFS in remoto

    • Connettiti tramite UNC da un computer che non ha UAC attivato.

  4. Crea un ulteriore gruppo non amministrativo che abbia pieno accesso negli ACL NTFS a tutti i file e le cartelle che vuoi manipolare e assegna i tuoi amministratori ad esso.

    • Il popup UAC non verrà (non dovrebbe) essere attivato, poiché Explorer non richiederà più i privilegi di amministratore, poiché l'accesso ai file è concesso tramite un altro gruppo non amministrativo.
HopelessN00b
fonte
2
Buona lista. Una nota: se gestisci le autorizzazioni NTFS in remoto, non importa se UAC sia abilitato o meno per il sistema da cui stai gestendo. Non verrà richiesto quando si modificano gli ACL su un server remoto.
Robusto Erde,
1
Sìì! L'opzione 4 funziona bene :)
CrazyTim
Qualcosa mi ha riportato a questo Q / A e devo rivedere il mio commento precedente. L'elenco è buono, tranne per il tuo primo suggerimento. Se hai bisogno di disabilitare UAC su un server, stai sbagliando. Se devi gestire le cartelle localmente su un server (di nuovo, facendo qualcosa di sbagliato) :) allora quello che puoi fare è aggiungere un ACE alla tua struttura di cartelle che conceda all'entità di sicurezza "INTERATTIVO" l'autorizzazione "Elenca contenuti". Ciò consentirà agli amministratori di sfogliare la struttura delle cartelle senza richieste di controllo dell'account utente.
Robusto Erde,
Interessante, l'opzione 4 non ha funzionato per me (Server 2016). Tuttavia, la concessione del principio di sicurezza INTERATTIVO "Elenco cartelle" e "Leggi autorizzazioni" ha funzionato. Ma non è quello che mi sento di usare.
Brad Bamford,
1

Il modo migliore è cambiare la chiave di registro in

Registro :: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ system; key = EnableLUA

Assicurarsi che sia impostato su Valore 0 per disabilitarlo. È necessario riavviare per renderlo effettivo. L'interfaccia potrebbe mostrarlo come disabilitato mentre il registro è abilitato.

Ben
fonte
Apportare questa modifica al registro disattiverà l'UAC ed è altamente sconsigliato dalle migliori pratiche Microsoft.
Joshua Hanley,
1

Impostare entrambi questi criteri affinché i membri del gruppo di amministratori locali possano modificare i file e connettersi alle condivisioni di amministrazione:

inserisci qui la descrizione dell'immagine

Un riavvio sarà richiesto dopo aver apportato queste modifiche.

Manfred
fonte
Non sono sicuro che questo metodo funzioni davvero, ma riduce la sicurezza generale e non è necessario per risolvere il problema. Sono già state fornite due soluzioni funzionanti senza ridurre la sicurezza.
Robusto Erde,
Questo metodo funziona. In che modo ciò riduce la sicurezza laddove questi altri metodi non lo fanno? Entrambi raccomandano di disabilitare completamente l'UAC (sebbene la risposta accettata fornisca alcune altre opzioni). Ciò mantiene l'UAC, ma consente ai membri del gruppo Admin di utilizzare effettivamente le autorizzazioni impostate sull'UAC. Questo sembra essere il metodo migliore per me.
Mordred,
Questo metodo funzionerà, ma la disabilitazione della modalità di approvazione dell'amministratore neuterà l'UAC disabilitando il token di sicurezza diviso che consente di accedere come amministratore senza fare l'equivalente di Windows dell'accesso come root. Con AAM disabilitato, tutti i processi eseguiti dall'account di un amministratore verranno eseguiti con diritti di amministratore completi, anziché solo quelli che richiedono tali diritti e sono approvati dall'amministratore tramite il prompt UAC. È una parte fondamentale di Controllo dell'account utente e non è necessario disabilitarlo. Vedi la risposta di @ HopelessN00b per diverse scelte superiori.
Joshua Hanley,
0

È inoltre possibile disabilitare la modalità Approvazione amministratore per amministratori tramite GPO o nella politica di sicurezza locale.

Criteri di sicurezza locali \ Impostazioni di sicurezza \ Criteri locali \ Opzioni di sicurezza \ Controllo account utente: esegui tutti gli amministratori in modalità Approvazione amministratore - Disabilitato

Ron
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.