Ini terkait dengan pertanyaan ini:
Saya memiliki server anggota di lingkungan lab AD baru.
Saya memiliki pengguna Direktori Aktif
ADMIN01
yang merupakan anggotaDomain Admins
grupGrup
Domain Admins
global adalah anggotaAdministrators
grup lokal server anggotaIzin berikut ini dikonfigurasi pada root dari
D:
drive baru saya yang ditambahkan setelah server menjadi anggota domain:
Semua Orang - Izin Khusus - Folder ini saja Folder traverse / jalankan file Daftar folder / baca data Baca atribut Baca atribut yang diperluas PEMILIK PENCIPTA - Izin Khusus - Subfolder dan file saja Kontrol penuh SISTEM - Folder ini, subfolder dan file Kontrol penuh Administrator - Folder ini, subfolder dan file Kontrol penuh
Di bawah ACL di atas, pengguna domain ADMIN01
dapat masuk dan mengakses D:
drive, membuat folder dan file dan semuanya baik-baik saja.
Jika saya menghapus Everyone
izin dari root drive ini, maka pengguna non-built-in yang merupakan anggota dari Domain Admins
(misalnya ADMIN01
) grup tidak dapat lagi mengakses drive. Administrator
Akun domain baik-baik saja.
Mesin lokal Administrator
dan Domain Admin
akun "Administrator" masih memiliki akses penuh ke drive, tetapi setiap pengguna "biasa" yang telah ditambahkan ke Domain Admins
akses ditolak.
Ini terjadi terlepas dari apakah saya membuat volume dan menghapus Everyone
izin masuk sebagai mesin lokal Administrator
atau apakah saya melakukan ini masuk sebagai Domain Admin
akun "Administrator".
Seperti disebutkan dalam pertanyaan saya sebelumnya, pekerjaan di sekitar adalah untuk menonaktifkan kebijakan "Kontrol Akun Pengguna: Jalankan semua administrator dalam Mode Persetujuan Admin" baik secara lokal di server anggota atau melalui GPO domain lebar.
Mengapa menghapus Everyone
akun dari D:
ACL menyebabkan masalah ini untuk pengguna non-built-in yang diberikan keanggotaan Domain Admins
?
Juga mengapa Domain Admin
pengguna non-built-in jenis ini tidak diminta untuk meningkatkan izin mereka daripada hanya ditolak akses ke drive?
Tampaknya saya tidak sendirian dalam menghadapi masalah ini. Masalah yang dipertaruhkan tampaknya adalah pengguna non-built-in yang
Domain Admins
tidak sepenuhnya shilling ketika datang ke UAC dan tampaknya diperlakukan "khusus":Paragraf utama dari tautan terakhir menjelaskan:
sumber