ทำไมการลบกลุ่ม EVERYONE ทำให้ผู้ดูแลโดเมนไม่สามารถเข้าถึงไดรฟ์ได้

12

สิ่งนี้เกี่ยวข้องกับคำถามนี้:

กลุ่ม Domain Admins ปฏิเสธการเข้าถึงไดรฟ์ d:

ฉันมีเซิร์ฟเวอร์สมาชิกในสภาพแวดล้อม AD แล็บใหม่เอี่ยม

  • ฉันมีผู้ใช้ Active Directory ADMIN01ที่เป็นสมาชิกของDomain Adminsกลุ่ม

  • Domain Adminsกลุ่มส่วนกลางเป็นสมาชิกของท้องถิ่นเซิร์ฟเวอร์ของสมาชิกของAdministratorsกลุ่ม

  • สิทธิ์ต่อไปนี้ได้รับการกำหนดค่าในรูทของD:ไดรฟ์ใหม่ที่เพิ่มหลังจากเซิร์ฟเวอร์กลายเป็นสมาชิกของโดเมน

    ทุกคน - สิทธิ์พิเศษ - โฟลเดอร์นี้เท่านั้น
      สำรวจโฟลเดอร์ / เรียกใช้ไฟล์
      รายการโฟลเดอร์ / อ่านข้อมูล
      อ่านคุณสมบัติ
      อ่านคุณสมบัติเพิ่มเติม

    CREATOR OWNER - สิทธิ์พิเศษ - โฟลเดอร์ย่อยและไฟล์เท่านั้น
      ควบคุมทั้งหมด

    ระบบ - โฟลเดอร์นี้โฟลเดอร์ย่อยและไฟล์
      ควบคุมทั้งหมด

    ผู้ดูแลระบบ - โฟลเดอร์โฟลเดอร์ย่อยและไฟล์
      ควบคุมทั้งหมด

ภายใต้ ACL ข้างต้นผู้ใช้โดเมนADMIN01สามารถเข้าสู่ระบบและเข้าถึงD:ไดรฟ์สร้างโฟลเดอร์และไฟล์และทั้งหมดเป็นสิ่งที่ดี

หากฉันลบการEveryoneอนุญาตจากรูทของไดรฟ์นี้ผู้ใช้ที่ไม่ใช่ผู้ใช้ภายในซึ่งเป็นสมาชิกของกลุ่มDomain Admins(เช่นADMIN01) จะไม่สามารถเข้าถึงไดรฟ์ได้อีกต่อไป Administratorบัญชีโดเมนไม่เป็นไร

เครื่องในตัวเครื่องAdministratorและDomain Adminบัญชี "ผู้ดูแลระบบ" ยังคงสามารถเข้าถึงไดรฟ์ได้อย่างสมบูรณ์ แต่ผู้ใช้ที่ "ปกติ" ที่ได้รับการเพิ่มDomain Adminsนั้นถูกปฏิเสธการเข้าถึง

สิ่งนี้เกิดขึ้นไม่ว่าฉันจะสร้างวอลลุ่มและเอาEveryoneสิทธิ์การล็อกอินที่เป็นเครื่องภายในเครื่องAdministratorหรือว่าฉันทำการล็อกออนด้วยDomain Adminบัญชีผู้ดูแลระบบ

ตามที่กล่าวไว้ในคำถามก่อนหน้าของฉันการแก้ไขคือการปิดใช้งานนโยบาย"การควบคุมบัญชีผู้ใช้: เรียกใช้ผู้ดูแลระบบทั้งหมดในโหมดการอนุมัติผู้ดูแลระบบ"ไม่ว่าจะเป็นแบบโลคัลบนเซิร์ฟเวอร์สมาชิกหรือผ่าน GPO ทั่วทั้งโดเมน

ทำไมไม่ถอดEveryoneจากบัญชีD:ของ ACL สาเหตุปัญหานี้ไม่ใช่ในตัวผู้ใช้ที่จะได้รับการเป็นสมาชิกDomain Admins?

แล้วทำไมDomain Adminผู้ใช้ที่ไม่ใช่ผู้ใช้งานภายในประเภทนี้จึงไม่ได้รับแจ้งให้ยกระดับสิทธิ์ของพวกเขามากกว่าเพียงแค่ถูกปฏิเสธไม่ให้เข้าถึงไดรฟ์

windows  windows-server-2008  active-directory 
Kev
แหล่งที่มา

คำตอบ:

10

ฉันสังเกตเห็นสิ่งนี้ด้วยตัวเอง สิ่งที่เกิดขึ้นคือ UAC เริ่มขึ้นเนื่องจากคุณใช้สมาชิก "ผู้ดูแลท้องถิ่น" เพื่อเข้าถึงไดรฟ์และนี่คือสิ่งที่ UAC ตรวจสอบ

สำหรับเซิร์ฟเวอร์ไฟล์แนวปฏิบัติที่เหมาะสมที่สุดของฉันคือไม่ใช้กลุ่ม "ผู้ดูแลระบบ" เพื่อให้สิทธิ์แก่ผู้ใช้

ลองสิ่งนี้: สร้างกลุ่มโฆษณาชื่อ "FileServerAdmins" หรืออะไรก็ตามเพิ่มผู้ใช้ของคุณ (หรือกลุ่มผู้ดูแลโดเมน) ลงไป ให้สิทธิ์กลุ่มนี้ในการเข้าถึงไดรฟ์ D ที่มีสิทธิ์เหมือนกับกลุ่มผู้ดูแลระบบที่มีอยู่

คุณควรสังเกตว่าแม้หลังจากลบสิทธิ์ "ทุกคน" สมาชิกใด ๆ ของกลุ่ม "FileServerAdmins" ควรยังสามารถเข้าถึงไดรฟ์ได้โดยไม่ต้องได้รับพรอมต์ UAC

ฉันรู้สึกตกใจเล็กน้อยเมื่อฉันค้นพบสิ่งนี้สักครู่มันเป็นส่วนหนึ่งของ UAC ที่สามารถใช้การแก้ไขบางส่วนได้ ...

Trondh
แหล่งที่มา
ยิ่งฉันสะดุดกับปัญหาที่เกี่ยวข้องกับ UAC อย่างบ้าคลั่ง (เช่นเกือบทุกวัน) ยิ่งฉันต้องการแก้ไขรหัสในสมองของนักพัฒนา ...
Massimo
8

ดูเหมือนว่าฉันไม่ได้อยู่คนเดียวในการเผชิญหน้ากับปัญหานี้ ดูเหมือนว่าปัญหาที่อยู่ในความเสี่ยงคือผู้ใช้ที่Domain Adminsไม่ได้อยู่ในระบบซึ่งไม่ได้เป็นคนชิลลิงเมื่อพูดถึง UAC และดูเหมือนว่าจะได้รับการ "พิเศษ":

Windows Server 2008 R2 และ UAC

ปัญหาการอนุญาต UAC และ Domain Admins ใน Windows 2008 - ตอนที่ 1

สิทธิ์ผู้ดูแลระบบ UAC และโดเมนฉบับเต็มหรือกระเป๋าเต็ม Kryptonite - ส่วนที่ 2

ย่อหน้าที่สำคัญจากลิงก์สุดท้ายอธิบาย:

โดยทั่วไป[ผู้ใช้ที่ไม่ใช่ผู้ที่มี - (เพิ่มโดยฉัน)]ผู้ดูแลโดเมนซึ่งต่างจากผู้ใช้อื่นทั้งหมดจะได้รับโทเค็นสองรายการ พวกเขามีโทเค็นการเข้าถึงแบบเต็ม (เหมือนคนอื่น ๆ ) และโทเค็นการเข้าถึงที่สองที่เรียกว่าโทเค็นการเข้าถึงที่ถูกกรอง โทเค็นการเข้าถึงที่ถูกกรองนี้ได้ลบอำนาจการดูแลระบบออกแล้ว Explorer.exe (เช่นรูทของทั้งหมด) เริ่มต้นด้วยโทเค็นการเข้าถึงที่ถูกกรองและทำให้ทุกอย่างเริ่มต้นด้วย

คิดว่ามันเป็นเหมือน RUNAS ในทางกลับกัน แทนที่จะเป็นผู้ดูแลระบบโดเมนคุณจะถูกเปลี่ยนสถานะเป็น peon เป็นผล kryptonite

Kev
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.