Pourquoi la suppression du groupe EVERYONE empêche-t-elle les administrateurs de domaine d'accéder à un lecteur?

12

Ceci est lié à cette question:

Le groupe des administrateurs de domaine s'est vu refuser l'accès au lecteur d:

J'ai un serveur membre dans un tout nouvel environnement de laboratoire AD.

  • J'ai un utilisateur Active Directory ADMIN01qui est membre du Domain Adminsgroupe

  • Le Domain Adminsgroupe global est membre du Administratorsgroupe local du serveur membre

  • Les autorisations suivantes sont configurées à la racine de mon nouveau D:lecteur ajouté après que le serveur est devenu membre du domaine:

    Tout le monde - Autorisations spéciales - Ce dossier uniquement
      Déplacer le dossier / exécuter le fichier
      Liste des dossiers / lecture des données
      Lire les attributs
      Lire les attributs étendus

    CREATOR OWNER - Autorisations spéciales - Sous-dossiers et fichiers uniquement
      Controle total

    SYSTEM - Ce dossier, sous-dossiers et fichiers
      Controle total

    Administrateurs - Ce dossier, sous-dossiers et fichiers
      Controle total

Sous les ACL ci-dessus, l'utilisateur du domaine ADMIN01peut se connecter et accéder au D:lecteur, créer des dossiers et des fichiers et tout va bien.

Si je supprime l' Everyoneautorisation de la racine de ce lecteur, les utilisateurs non intégrés qui sont membres du groupe Domain Admins(par exemple ADMIN01) ne peuvent plus accéder au lecteur. Le Administratorcompte de domaine va bien.

La machine locale Administratoret le compte Domain Admin"Administrateur" ont toujours un accès complet au lecteur, mais tout utilisateur "normal" qui a été ajouté Domain Adminsse voit refuser l'accès.

Cela se produit que j'ai créé le volume et supprimé l' Everyoneautorisation connectée en tant que machine locale Administratorou que j'effectue cette connexion en tant que Domain Admincompte "Administrateur".

Comme mentionné dans ma question précédente, la solution consiste à désactiver la stratégie «Contrôle de compte d'utilisateur: exécuter tous les administrateurs en mode d'approbation administrateur» localement sur le serveur membre ou via un objet de stratégie de groupe à l'échelle du domaine.

Pourquoi la suppression du Everyonecompte de D:la liste de contrôle d'accès provoque-t-elle ce problème pour les utilisateurs non intégrés auxquels l'adhésion est accordée Domain Admins?

De plus, pourquoi ces types d'utilisateurs non intégrés ne sont-ils pas Domain Admininvités à élever leurs autorisations plutôt que de se voir refuser catégoriquement l'accès au lecteur?

windows windows-server-2008 active-directory Kev
la source

Réponses:

10

Je l'ai remarqué moi-même. Ce qui se passe, c'est que l'UAC intervient parce que vous utilisez votre adhésion "administrateurs locaux" pour accéder au lecteur, et c'est exactement ce que UAC surveille.

Pour les serveurs de fichiers, ma meilleure pratique personnelle est de ne jamais utiliser le groupe "Administrateurs" pour accorder des autorisations aux utilisateurs.

Essayez ceci: créez un groupe AD appelé "FileServerAdmins" ou autre, ajoutez-y votre utilisateur (ou groupe d'administrateur de domaine). Accordez à ce groupe l'accès au lecteur D avec les mêmes autorisations que le groupe Administrateurs existant.

Vous devez noter que même après avoir supprimé l'autorisation «Tout le monde», tous les membres du groupe «FileServerAdmins» doivent toujours avoir accès au lecteur, sans obtenir l'invite UAC.

J'ai été un peu choqué moi-même quand j'ai découvert cela il y a quelque temps, c'est certainement une partie de l'UAC qui pourrait utiliser une révision ...

Trondh
la source
Plus je tombe sur des problèmes fous liés à l'UAC (c'est-à-dire presque quotidiennement), plus je veux effectuer une révision de code sur le cerveau de ses développeurs ...
Massimo
8

Il semble que je ne sois pas le seul à rencontrer ce problème. L'enjeu semble être que les utilisateurs non intégrés qui ne Domain Adminssont pas tout à fait shilling quand il s'agit de l'UAC et semblent être traités "spécialement":

Windows Server 2008 R2 et l'UAC

Problème d'autorisation UAC et administrateurs de domaine sous Windows 2008 - Partie 1

Problème d'autorisation UAC et administrateurs de domaine ou poche pleine de Kryptonite - Partie 2

Le paragraphe clé du dernier lien explique:

Fondamentalement, [les utilisateurs non intégrés qui sont - (ajoutés par moi)] les administrateurs de domaine, contrairement à TOUS LES AUTRES UTILISATEURS, reçoivent deux jetons. Ils ont le jeton d'accès complet (comme tout le monde) et un deuxième jeton d'accès appelé jeton d'accès filtré. Ce jeton d'accès filtré a les pouvoirs administratifs supprimés. Explorer.exe (c'est-à-dire la racine de tous) est démarré avec le jeton d'accès filtré, et donc tout est démarré avec.

Pensez-y, c'est comme RUNAS à l'envers. Plutôt que d'être un administrateur de domaine, vous êtes réduit au statut de péon. Il s'agit en fait de kryptonite.

Kev
la source