Windows 管理员共享允许所有域用户进行不必要的访问

Windows 管理员共享允许所有域用户进行不必要的访问

我的问题

我对我的股票有问题Windows 2008 R2 服务器:

  • 所有股份包括行政股份例如加元允许所有用户创建文件和文件夹的权限。

我尝试修复

我尝试使用伊卡克尔斯工具可以这样做:icacls C:\SHARE /reset

没有任何权限,有效权限始终显示:“创建文件夹/添加数据“适用于所有域帐户。因此,我已经使用一些帐户进行了测试以确认...是的,它有效...


共享上的 icacls 输出(使用icacls C:\SHARE):

C:\SHARE AUTORITE NT\System:(I)(OI)(CI)(F)
     BUILTIN\Administrators:(I)(OI)(CI)(F)
     BUILTIN\Utilisators:(I)(OI)(CI)(RX)
     BUILTIN\Utilisators:(I)(CI)(AD)
     BUILTIN\Users:(I)(CI)(WD)
     CREATEUR PROPRIETAIRE:(I)(OI)(CI)(IO)(F)

我搜索过类似的问题,但只发现了相反的结果。

使用的客户端是Windows 7。

我不确定下一步该做什么来排除故障或解决问题。


更新

它在使用相同 Windows 7 客户端的 Windows Server 2003 R2 上运行良好。

我还测试了(在 2008 R2 上)对每个人的共享权限和 NTFS 权限 RX(读取和执行)的完全控制和修改。但结果并不好……

答案1

所有共享(包括管理共享,因为 c$)都允许所有用户创建数据和创建文件夹。

默认情况下,当地行政人员集团和域管理员组(如果适用)被允许访问 Windows 中的管理共享。请参阅以下两个建议,了解如何检查组成员身份,看看这是否是导致您解释的问题的原因。


本地服务器

检查以确保帐户不在本地服务器中行政人员本地服务器上的组。检查一下此级别中存在问题的用户帐户属于哪些组,以防万一。

领域

检查以确保帐户不在域管理员如果适用,请检查 AD 中的组。以防万一,请从 AD 端检查有问题的用户帐户属于哪些组。

相关内容