Kev*_*Kev 12 windows windows-server-2008 active-directory
这与这个问题有关:
我在全新的 AD 实验室环境中有一台成员服务器。
我有一个 Active Directory 用户ADMIN01,他是该Domain Admins组的成员
该Domain Admins全局组是成员服务器的本地成员Administrators组
在服务器成为域成员后D:添加的新驱动器的根目录上配置了以下权限:
所有人 - 特殊权限 - 仅此文件夹
遍历文件夹/执行文件
列出文件夹/读取数据
读取属性
读取扩展属性
CREATOR OWNER - 特殊权限 - 仅限子文件夹和文件
完全控制
SYSTEM - 此文件夹、子文件夹和文件
完全控制
管理员 - 此文件夹、子文件夹和文件
完全控制
在上述 ACL 下,域用户ADMIN01可以登录和访问D:驱动器、创建文件夹和文件,一切都很好。
如果我Everyone从该驱动器的根目录中删除权限,那么作为Domain Admins(例如ADMIN01)组成员的非内置用户将无法再访问该驱动器。域Administrator帐户没问题。
本地机器Administrator和Domain Admin“管理员”帐户仍然可以完全访问驱动器,但任何已添加到其中的“普通”用户都被Domain Admins拒绝访问。
无论我是创建卷并删除以Everyone本地计算机登录的权限,Administrator还是以Domain Admin“管理员”帐户登录执行此操作,都会发生这种情况。
正如我在上一个问题中提到的,解决方法是在成员服务器本地或通过域范围的 GPO禁用“用户帐户控制:在管理员批准模式下运行所有管理员”策略。
为什么Everyone从D:的 ACL中删除帐户会导致被授予 成员资格的非内置用户出现此问题Domain Admins?
另外,为什么不提示这些类型的非内置Domain Admin用户提升他们的权限,而不是直接拒绝访问驱动器?
Tro*_*ndh 10
我自己也注意到了这一点。发生的情况是,UAC 启动是因为您正在使用“本地管理员”成员身份来访问驱动器,而这正是 UAC 监视的内容。
对于文件服务器,我个人的最佳做法是永远不要使用“管理员”组为用户提供权限。
试试这个:创建一个名为“FileServerAdmins”或其他名称的 AD 组,将您的用户(或域管理员组)添加到其中。使用与现有管理员组相同的权限授予该组访问 D 驱动器的权限。
您应该注意到,即使在删除“Everyone”权限后,“FileServerAdmins”组的任何成员仍应有权访问驱动器,而不会收到 UAC 提示。
当我不久前发现这一点时,我自己有点震惊,它肯定是 UAC 的一部分,可以使用一些修订...
看来我不是唯一遇到这个问题的人。问题似乎在于,非内置用户Domain Admins在 UAC 方面并不是很全,而且似乎受到了“特殊”待遇:
最后一个链接的关键段落解释了:
基本上,[非内置用户 -(由我添加)]域管理员,与所有其他用户不同,有两个令牌。他们拥有完整的访问令牌(与其他人一样)和称为过滤访问令牌的第二个访问令牌。此过滤的访问令牌已删除管理权力。Explorer.exe(即所有的根)以过滤的访问令牌启动,因此一切都以它启动。
把它想象成逆向的 RUNAS。您不再是域管理员,而是沦为苦工状态。它实际上是氪石。
| 归档时间: |
|
| 查看次数: |
29598 次 |
| 最近记录: |