我已经保护了服务器上的一个驱动器,仅允许Local Administrators
访问。Domain Admins
是该Local Administrators
组的一部分。
当我以管理员身份登录时,只有当我直接授予自己对驱动器的权限(而不是使用组的嵌套权限Local Administrators
)时,才能访问该文件夹。但是,如果我结束 Explorer.exe 进程并以管理员身份运行它,我就可以使用嵌套权限进行访问。
如果我以本地管理员身份登录,则一切正常。所有域管理员帐户均无法在未授予自己权限的情况下打开驱动器。
更奇怪的是,如果域管理员以网络共享或管理共享的形式访问驱动器,一切也能正常工作。
我在使用 Server 2012 R2 和 2008 R2 时都遇到过这种情况。
答案1
UAC 正在修改您的管理权限
您所描述的行为是设计使然。这是因为您的帐户在本地计算机Administrators
组中的有效成员资格被剥夺了用户帐户控制 (UAC):
当管理员登录时,系统会向用户授予两个访问令牌:一个完全管理员访问令牌和一个“过滤的”标准用户访问令牌。默认情况下,当本地管理员组的成员登录时,系统会禁用 Windows 管理权限并删除提升的用户权限,从而生成标准用户访问令牌。然后,系统会使用标准用户访问令牌启动桌面 (Explorer.exe)。Explorer.exe 是所有其他用户启动的进程从其继承访问令牌的父进程。因此,除非用户同意或提供凭据以批准应用程序使用完全管理访问令牌,否则所有应用程序默认都以标准用户身份运行。(来源:科技网)
以下是对正在发生的事情的直观描述:
即使您的用户帐户是本地Administrators
组的有效成员,当您访问驱动器时,这些权限也不会出现在您的访问令牌中,从而导致您被拒绝权限(或 UAC 提示您授予您的帐户访问驱动器的明确权限)。相反,当您的用户帐户被授予访问驱动器的明确权限时,您可以正常访问,因为Administrators
UAC 只会剥夺您在该组中的成员身份。
如果我以本地管理员身份登录,一切都正常。
使用内置管理员帐户登录时,UAC 已禁用默认情况下。因此,上述标记过滤过程不会发生。
...如果域管理员以网络共享或管理共享的形式访问驱动器,一切也能正常工作。
UAC 对网络上的资源没有影响。它只在本地计算机上运行。因此,由于这些帐户可以访问资源,并且 UAC 不会过滤该访问,因此不会阻止它们访问对象。
安全的解决方案
由于为了提高安全性而不建议禁用 UAC,请使用以下简单的解决方法:
- 创建域组,例如
Data Volume Administrators
- 成为群组
Domain Administrators
成员Data Volume Administrators
- 授予该
Data Volume Administrators
组对该卷的 NTFS 完全控制权限。
最终结果是,您将拥有该对象的完全访问权限,因为 UAC 不会剥夺您的Data Volume Administrators
组成员身份。