我认为我正在处理知识上的差距。我想我理解了 80% 左右,但显然这还不够。这样的问题困扰了我很长时间。我会尽量说清楚。服务器操作系统 Windows 2003 R2 Standard SP2。桌面操作系统 Windows 7 Pro SP1 和一些 Windows XP Pro SP3。
所以我有一个名为 DOM1 的域。在域中我有一个名为 Ralph 的用户。Ralph 属于域管理员组和域用户组。我有一个名为 MY-WS 的工作站。此工作站是 DOM1 域的一部分。我以 Dom1\Ralph 的身份登录 MY-WS。我已将 DOM1 域管理员组添加到 MY-WS 上的内置管理员组。目前,我不关心 MY-WS 上的任何本地用户或组。我在桌面上创建一个文件夹(我认为在哪里并不重要),删除继承并从“安全”选项卡中删除除本地管理员组之外的所有组,并确认本地管理员组对该文件夹具有完全控制权限。我可以使用“共享”选项卡执行相同的操作,结果类似。
这就是我需要问的所有问题。我的理解是,本地管理员组中的任何用户都对该工作站拥有无限控制权。我还认为,如果用户是组的成员,那么添加组就等于添加用户。不确定这是否与域与本地组和用户有关。当我尝试打开文件夹时,我收到以下弹出窗口(图片 1)。您目前无权访问此文件夹。单击“继续”以永久访问此文件夹。如果我回复“取消”,则不会发生任何事情,我将无法访问该文件夹。如果我回复“继续”,则可以访问该文件夹,当我再次检查文件夹上的“安全”选项卡时,DOM1\Ralph 已被添加并具有完全控制权。这是我不明白的部分。我总是被告知要使用组而不是用户来做这样的事情,因此如果人员发生变化或者您想要添加或删除个人访问权限,那么后勤噩梦就不会那么大了。
还有很多类似的例子,但我有一种感觉,当你们中一个更有学问的人读到这篇文章时,你们会说“哦,是的,当然是这样,这就是原因”。不管怎样,我想我会试一试。提前非常感谢您的帮助和合作。
答案1
这里的诀窍是用户帐户控制。每个程序都在用户帐户下运行,但更具体地说,令牌。每个令牌都包含一个安全标识符 (SID,基本上是用户 ID)、用户所属的组列表以及当前启用的权限。UAC 确保某些组成员身份不会一直处于活动状态;这可以保护计算机免受意外的管理操作(例如,来自特洛伊木马)的影响。运行whoami /all以查看令牌的完整内容。
如果您以管理员身份从未提升的命令提示符下运行该命令,您将看到您是本地管理员组的成员,但该成员身份“仅用于拒绝” - 在该令牌下运行的程序实际上没有管理权限。域管理员组以及其他几个重要组(例如备份操作员)都受此检查。除非用户提升了权限,否则引用这些组的“允许”ACL 条目将不适用。(尝试使用whoami /all管理员提示符 - 所有组成员身份和一系列特权都已启用。)
当你控制某个文件夹时,你可以使用管理员权限SeRestorePrivilege(“恢复文件和目录”,可让你将任何内容(包括 ACL)写入任何文件)添加“完全控制”的“允许”条目您的帐户到 ACL。由于您的 SID 永远不会受到 UAC 令牌剥离的影响,因此以您身份运行的所有程序都将能够行使该控制。
如果您尝试使用提升权限的程序(例如以explorer.exe管理员身份或管理员提示符运行)访问该文件夹(在添加特定 ACE 之前),那么您就会成功。禁用 UAC(不推荐)会导致所有以您的身份运行的程序始终拥有所有访问权限。