NTFS - Les administrateurs de domaine n'ont pas d'autorisations bien qu'ils fassent partie du groupe Administrateurs locaux

8

Selon les «meilleures pratiques», le personnel de notre service informatique possède deux comptes. Un compte non privilégié et un compte membre du groupe global Administrateurs de domaine ($ DOMAINE \ Administrateurs de domaine). Sur nos serveurs de fichiers, le groupe Administrateurs de domaine est ajouté au groupe Administrateurs local ($ SERVER \ Administrateurs). Le groupe Administrateur local bénéficie du Contrôle total sur ces répertoires. Assez standard.

Cependant, si je me connecte au serveur avec mon compte d'administrateur de domaine afin de descendre dans ce répertoire, je dois approuver une invite UAC qui dit: «Vous n'avez actuellement pas la permission d'accéder à ce dossier. Cliquez sur continuer pour accéder en permanence à ce dossier. " Cliquer sur continuer donne à mon compte d'administrateur de domaine des autorisations sur ce dossier et tout ce qui se trouve en dessous malgré que $ SERVER \ Administrateurs (dont je suis membre via le groupe Administrateurs de domaine) ait déjà le contrôle total.

Quelqu'un peut-il expliquer ce comportement et quelle est la manière appropriée de gérer les autorisations NTFS pour les partages de fichiers en ce qui concerne les droits d'administration avec Server 2008 R2 et UAC?

active-directory windows-server-2008-r2 permissions ntfs uac
la source
Gérez le système à distance ou désactivez l'UAC.
Zoredache
2
Je suis en désaccord avec quiconque recommande de désactiver UNC. Accédez aux fichiers via UNC - je pense que cela fonctionnera même sur le serveur local.
Multiverse IT
Je ne peux pas supporter ce comportement dans WS2008 + mais je suis d'accord avec la recommandation de @ MultiverseIT de laisser l'UAC seul.
SturdyErde

Réponses:

11

À droite, l'UAC est déclenché lorsqu'un programme demande des privilèges d'administrateur. Tels que l'Explorateur, demandant des privilèges d'administrateur, car c'est ce que nécessitent les ACL NTFS sur ces fichiers et dossiers.

Je connais quatre options.

  1. Désactivez l'UAC sur vos serveurs.

    • Je le fais de toute façon (dans le cas général), et dirais que si vous avez besoin de l'UAC sur un serveur, vous le faites probablement mal, car en général, seuls les administrateurs doivent se connecter aux serveurs, et ils doivent savoir ce qu'ils sont Faire.

  2. Gérez les autorisations à partir d'une interface élevée

    • Une cmdfenêtre élevée , une PSfenêtre ou une instance de l'Explorateur fonctionnent toutes pour éviter le popup UAC. ( Run As Administrator)

  3. Gérez les autorisations NTFS à distance

    • Connectez-vous via UNC à partir d'une machine sur laquelle l'UAC n'est pas activé.

  4. Créez un groupe non administratif supplémentaire qui dispose d'un accès complet dans les ACL NTFS à tous les fichiers et dossiers que vous souhaitez manipuler et affectez-y vos administrateurs.

    • Le popup UAC ne sera pas (ne devrait pas) être déclenché, car Explorer n'aura plus besoin de privilèges administratifs, car l'accès aux fichiers est accordé via un autre groupe non administratif.
HopelessN00b
la source
2
Bonne liste. Une remarque: si vous gérez les autorisations NTFS à distance, peu importe si UAC est activé ou non pour le système à partir duquel vous gérez. Il ne demandera pas lors de la modification des ACL sur un serveur distant.
SturdyErde
1
Yay! L'option 4 fonctionne bien :)
CrazyTim
Quelque chose m'a ramené à ce Q / A et je dois réviser mon commentaire précédent. La liste est bonne sauf pour votre première suggestion. Si vous devez désactiver l'UAC sur un serveur, vous le faites mal. Si vous devez gérer les dossiers localement sur un serveur (encore une fois, faites-le mal) :) alors ce que vous pouvez faire est d'ajouter un ACE à votre structure de dossiers qui accorde au principal de sécurité "INTERACTIF" l'autorisation "Liste du contenu". Cela permettra aux administrateurs de parcourir la structure de dossiers sans invites UAC.
SturdyErde
Intéressant, l'option 4 ne fonctionnait pas pour moi (Server 2016). Cependant, l'octroi du principe de sécurité INTERACTIF 'Liste des dossiers' et 'Autorisations de lecture' a fonctionné. Mais ce n'est pas ce que je suis à l'aise d'utiliser.
Brad Bamford
1

La meilleure façon est de changer la clé de registre à

registre :: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ policies \ system; key = EnableLUA

Assurez-vous qu'il est défini sur Valeur 0 pour le désactiver. Vous devez redémarrer pour qu'il prenne effet. L'interface peut l'afficher comme désactivé lorsque le registre est activé.

Ben
la source
Cette modification du registre désactivera le contrôle de compte d'utilisateur et est fortement déconseillée par les meilleures pratiques de Microsoft.
Joshua Hanley
1

Définissez ces deux stratégies pour que les membres du groupe d'administrateurs local puissent modifier les fichiers et se connecter aux partages d'administrateur:

entrez la description de l'image ici

Un redémarrage sera nécessaire après avoir effectué ces modifications.

Manfred
la source
Je ne sais pas si cette méthode fonctionne réellement, mais elle réduit la sécurité globale et n'est pas nécessaire pour résoudre le problème. Deux solutions de travail ont déjà été fournies sans réduire la sécurité.
SturdyErde
Cette méthode fonctionne. Comment cela réduit-il la sécurité là où ces autres méthodes ne fonctionnent pas? Les deux recommandent de désactiver complètement l'UAC (bien que la réponse acceptée propose d'autres options). Cela conserve l'UAC, mais permet aux membres du groupe Admin d'utiliser réellement les autorisations définies sur UAC. Cela me semble être la meilleure méthode.
Mordred
Cette méthode fonctionnera, mais la désactivation du mode d'approbation administrateur neuters UAC en désactivant le jeton de sécurité partagé qui permet de se connecter en tant qu'administrateur sans faire l'équivalent Windows de se connecter en tant que root. Avec AAM désactivé, tous les processus exécutés par le compte d'un administrateur s'exécuteront avec les droits d'administrateur complets, au lieu de ceux qui nécessitent ces droits et sont approuvés par l'administrateur via l'invite UAC. C'est une partie centrale de l'UAC, et vous ne devez pas le désactiver. Voir la réponse de @ HopelessN00b pour plusieurs choix supérieurs.
Joshua Hanley
0

Vous pouvez également désactiver le mode d'approbation administrateur pour les administrateurs via GPO ou dans la stratégie de sécurité locale.

Stratégie de sécurité locale \ Paramètres de sécurité \ Stratégies locales \ Options de sécurité \ Contrôle de compte d'utilisateur: exécutez tous les administrateurs en mode d'approbation administrateur - Désactivé

Ron
la source