Partage et autorisations de sécurité pour le domaine et les utilisateurs et groupes locaux

Je crois que j'ai affaire à un manque de connaissances. Je pense comprendre environ 80%, mais apparemment, cela ne suffit pas. Des questions comme celle-ci me tourmentent depuis longtemps. Je vais essayer d'être le plus clair possible. Système d'exploitation serveur Windows 2003 R2 Standard SP2. OS de bureau Windows 7 Pro SP1 et certains Windows XP Pro SP3.

J'ai donc un domaine appelé DOM1. Dans le domaine, j'ai un utilisateur nommé Ralph. Ralph fait partie du groupe Admins du domaine et du groupe Utilisateurs du domaine. J'ai un poste de travail nommé MY-WS. Ce poste de travail fait partie du domaine DOM1. Je suis connecté à MY-WS sous Dom1 \ Ralph. J'ai ajouté le groupe d'administrateurs de domaine DOM1 au groupe d'administrateurs intégré sur MY-WS. Pour le moment, je ne me soucie pas des utilisateurs ou groupes locaux sur MY-WS. Je crée un dossier sur le bureau (je ne pense pas que ce soit le cas), je supprime l'héritage, supprime tous les membres sauf le groupe Administrateurs locaux de l'onglet Sécurité et confirme que le groupe Administrateurs locaux dispose d'autorisations Contrôle total sur ce dossier. Je peux faire la même chose avec l'onglet Partage avec des résultats similaires.

C'est à peu près tout ce dont j'ai besoin pour poser mes questions. Si j'ai bien compris, tout utilisateur du groupe Administrateurs local dispose d'un contrôle illimité sur ce poste de travail. J'ai également pensé que si un utilisateur était membre d'un groupe, l'ajout du groupe était identique à l'ajout de l'utilisateur. Vous ne savez pas si cela a quelque chose à voir avec les utilisateurs et les groupes de domaines par rapport aux domaines. Lorsque j'essaie d'ouvrir le dossier, le message suivant s'affiche ( image 1). Vous n'avez actuellement pas la permission d'accéder à ce dossier. Cliquez sur Continuer pour accéder de manière permanente à ce dossier. Si je réponds à Annuler, rien ne se passe et je ne peux pas accéder au dossier. Si je réponds Continuer, j'ai accès au dossier et lorsque je vérifie à nouveau l'onglet Sécurité du dossier, DOM1 \ Ralph a été ajouté avec le contrôle total. C'est la partie que je ne comprends pas. On m'a toujours dit d'utiliser des groupes et non des utilisateurs pour des choses de ce genre. Par conséquent, si les personnes changent ou si vous souhaitez ajouter ou supprimer un accès pour des personnes, c'est beaucoup moins un cauchemar logistique.

Il existe de nombreux autres exemples comme celui-ci, mais j’ai le sentiment que, lorsque l’un de vous plus érudit le lira, vous lirez ceci: «Ohhhhhh, oui, bien sûr que c’est pour ça». Quoi qu'il en soit, je pensais que je donnerais un coup de feu à ceci. Merci d'avance pour votre aide et votre coopération.

L'astuce ici est le contrôle de compte d'utilisateur. Chaque programme s'exécute sous un compte utilisateur, mais plus particulièrement un jeton . Chaque jeton contient un identifiant de sécurité (SID, essentiellement un ID utilisateur), une liste des groupes dont l'utilisateur est membre et les privilèges activés pour le moment. UAC s'assure que certaines appartenances à des groupes ne sont pas actives en permanence; Cela protège la machine contre les actions administratives accidentelles (par exemple, d'un cheval de Troie). Exécuter whoami /allpour voir le contenu complet d'un jeton.

Si vous exécutez cette commande en tant qu'administrateur à partir d'une invite de commande non-exécutée, vous constaterez que vous êtes membre du groupe Administrateurs local, mais que cette appartenance est "utilisée pour refuser uniquement" - les programmes exécutés sous ce jeton ne disposent pas en réalité pouvoir administratif. Le groupe Administrateurs du domaine, ainsi que quelques autres importants (par exemple, opérateurs de sauvegarde), sont soumis à cette vérification. "Autoriser" les entrées de LCA faisant référence à ces groupes ne s'appliqueront que si l'utilisateur est élevé. (Essayez whoami /allsur une invite de l'administrateur - toutes les appartenances à un groupe et une foule de privilèges sont activés.)

Lorsque vous prenez le contrôle d'un dossier, vous utilisez votre tâche administrative SeRestorePrivilege("Restaurer les fichiers et les répertoires", qui vous permet d'écrire n'importe quel type de liste, y compris les ACL) pour ajouter une entrée "Autoriser" de contrôle total pour votre compte à la LCA. Étant donné que votre SID n'est jamais soumis à la suppression de jetons de contrôle de compte d'utilisateur, tous les programmes s'exécutant comme vous pourrez exercer ce contrôle.

Si vous aviez tenté d’accéder à ce dossier (avant d’ajouter l’ACE spécifique) avec un programme élevé - par exemple, explorer.exes’exécutant en tant qu’administrateur ou en tant qu’invite de l’administrateur - vous auriez réussi. Si vous désactivez le contrôle de compte d'utilisateur (non recommandé), tous les programmes seront exécutés de manière à ce que vous ayez tous vos accès en permanence.