Mengapa menghapus grup EVERYONE mencegah admin domain mengakses drive?

12

Ini terkait dengan pertanyaan ini:

Grup Admin Domain menolak akses ke d: drive

Saya memiliki server anggota di lingkungan lab AD baru.

  • Saya memiliki pengguna Direktori Aktif ADMIN01yang merupakan anggota Domain Adminsgrup

  • Grup Domain Adminsglobal adalah anggota Administratorsgrup lokal server anggota

  • Izin berikut ini dikonfigurasi pada root dari D:drive baru saya yang ditambahkan setelah server menjadi anggota domain:

    Semua Orang - Izin Khusus - Folder ini saja
      Folder traverse / jalankan file
      Daftar folder / baca data
      Baca atribut
      Baca atribut yang diperluas

    PEMILIK PENCIPTA - Izin Khusus - Subfolder dan file saja
      Kontrol penuh

    SISTEM - Folder ini, subfolder dan file
      Kontrol penuh

    Administrator - Folder ini, subfolder dan file
      Kontrol penuh

Di bawah ACL di atas, pengguna domain ADMIN01dapat masuk dan mengakses D:drive, membuat folder dan file dan semuanya baik-baik saja.

Jika saya menghapus Everyoneizin dari root drive ini, maka pengguna non-built-in yang merupakan anggota dari Domain Admins(misalnya ADMIN01) grup tidak dapat lagi mengakses drive. AdministratorAkun domain baik-baik saja.

Mesin lokal Administratordan Domain Adminakun "Administrator" masih memiliki akses penuh ke drive, tetapi setiap pengguna "biasa" yang telah ditambahkan ke Domain Adminsakses ditolak.

Ini terjadi terlepas dari apakah saya membuat volume dan menghapus Everyoneizin masuk sebagai mesin lokal Administratoratau apakah saya melakukan ini masuk sebagai Domain Adminakun "Administrator".

Seperti disebutkan dalam pertanyaan saya sebelumnya, pekerjaan di sekitar adalah untuk menonaktifkan kebijakan "Kontrol Akun Pengguna: Jalankan semua administrator dalam Mode Persetujuan Admin" baik secara lokal di server anggota atau melalui GPO domain lebar.

Mengapa menghapus Everyoneakun dari D:ACL menyebabkan masalah ini untuk pengguna non-built-in yang diberikan keanggotaan Domain Admins?

Juga mengapa Domain Adminpengguna non-built-in jenis ini tidak diminta untuk meningkatkan izin mereka daripada hanya ditolak akses ke drive?

Kev
sumber

Jawaban:

10

Saya telah memperhatikan ini sendiri. Apa yang terjadi, adalah bahwa UAC masuk karena Anda menggunakan keanggotaan "administrator lokal" untuk mendapatkan akses ke drive, dan inilah yang dipantau UAC.

Untuk server file, praktik terbaik pribadi saya adalah tidak pernah menggunakan grup "Administrator" untuk memberikan izin kepada pengguna.

Coba ini: Buat grup AD yang disebut "FileServerAdmins" atau apa pun, tambahkan pengguna Anda (atau grup admin domain) ke sana. Berikan grup ini akses ke D-drive dengan izin yang sama dengan grup Administrator yang ada.

Anda harus memperhatikan bahwa bahkan setelah menghapus izin "Semua Orang" setiap anggota grup "FileServerAdmins" masih harus memiliki akses ke drive, tanpa mendapatkan UAC prompt.

Saya sedikit terkejut ketika saya menemukan ini beberapa waktu yang lalu, itu pasti bagian dari UAC yang dapat menggunakan beberapa revisi ...

Trondh
sumber
Semakin saya tersandung masalah gila terkait UAC (yaitu, hampir setiap hari), semakin saya ingin melakukan revisi kode pada otak pengembangnya ...
Massimo
8

Tampaknya saya tidak sendirian dalam menghadapi masalah ini. Masalah yang dipertaruhkan tampaknya adalah pengguna non-built-in yang Domain Adminstidak sepenuhnya shilling ketika datang ke UAC dan tampaknya diperlakukan "khusus":

Windows Server 2008 R2 dan UAC

Masalah izin Admin dan Domain UAC pada Windows 2008 - Bagian 1

Masalah Izin Admin dan Domain UAC atau Saku Penuh Kryptonite - Bagian 2

Paragraf utama dari tautan terakhir menjelaskan:

Pada dasarnya, [pengguna non-built-in yang - (ditambahkan oleh saya)] Admin Domain, tidak seperti SEMUA PENGGUNA LAIN, diberikan dua token. Mereka memiliki token akses penuh (seperti orang lain) dan token akses kedua disebut sebagai token akses yang difilter. Token akses yang difilter ini menghilangkan kekuatan administratif. Explorer.exe (yaitu root dari semua) dimulai dengan token akses yang difilter, dan dengan demikian semuanya dimulai dengan itu.

Anggap saja RUNAS terbalik. Daripada menjadi Admin Domain Anda dikurangi menjadi status prajurit infanteri. Efeknya, ini adalah kryptonite.

Kev
sumber