为什么删除 EVERYONE 组会阻止域管理员访问驱动器?

为什么删除 EVERYONE 组会阻止域管理员访问驱动器?

这与这个问题相关:

域管理员组拒绝访问 d: 驱动器

我在一个全新的 AD 实验室环境中有一台成员服务器。

  • 我有一个 Active Directory 用户,他是该组ADMIN01的成员Domain Admins

  • 全局组是成员服务器本地组Domain Admins的成员Administrators

  • D:我新添加的驱动器的根目录上配置了以下权限该服务器已成为域的成员:

    所有人 - 特殊权限 - 仅限此文件夹
      遍历文件夹/执行文件
      列出文件夹/读取数据
      读取属性
      读取扩展属性

    创建者所有者 - 特殊权限 - 仅限子文件夹和文件
      完全控制

    SYSTEM - 此文件夹、子文件夹和文件
      完全控制

    管理员 - 此文件夹、子文件夹和文件
      完全控制

在上述 ACL 下,域用户ADMIN01可以登录和访问D:驱动器、创建文件夹和文件,一切正常。

如果我从此驱动器的根目录中删除权限,则属于(例如)组Everyone成员的非内置用户将无法再访问该驱动器。域帐户没问题。Domain AdminsADMIN01Administrator

本地机器AdministratorDomain Admin“管理员”帐户仍然可以完全访问该驱动器,但任何已添加的“常规”用户都将Domain Admins被拒绝访问。

无论我是否创建了卷并删除了Everyone以本地机器身份登录的权限,或者是否以“管理员”帐户Administrator登录执行此操作,都会发生这种情况。Domain Admin

正如我之前的问题中提到的,解决方法是禁用“用户帐户控制: 在管理员批准模式下运行所有​​管理员”在成员服务器上本地或通过域范围的 GPO 来实施策略。

为什么Everyone从 的 ACL 中删除帐户D:会导致被授予 成员资格的非内置用户出现此问题Domain Admins

此外,为什么不提示这些类型的非内置Domain Admin用户提升他们的权限,而不是直接拒绝他们访问驱动器?

答案1

我自己也注意到了这一点。发生的事情是,UAC 启动是因为您正在使用“本地管理员”成员身份来访问驱动器,而这正是 UAC 所监视的。

对于文件服务器,我个人的最佳做法是永远不要使用“管理员”组为用户提供权限。

尝试以下操作:创建一个名为“FileServerAdmins”或其他名称的 AD 组,将您的用户(或域管理员组)添加到其中。授予此组以与现有管理员组相同的权限访问 D 驱动器的权限。

您应该注意到,即使删除了“所有人”权限后,“FileServerAdmins”组的任何成员仍然可以访问该驱动器,而不会收到 UAC 提示。

当我前段时间发现这一点时,我自己也有点震惊,这绝对是 UAC 的一部分,需要进行一些修改……

答案2

看来我并不是唯一遇到这个问题的人。问题似乎在于,非内置用户Domain Admins在 UAC 方面没有得到充分的重视,似乎受到了“特殊对待”:

Windows Server 2008 R2 和 UAC

Windows 2008 上的 UAC 和域管理员权限问题 - 第 1 部分

UAC 和域管理员权限问题或口袋里的氪石 - 第 2 部分

最后一个链接的关键段落解释道:

基本上,[非内置用户 - (由我添加)]与所有其他用户不同,域管理员会获得两个令牌。他们拥有完整访问令牌(与其他人一样)和第二个访问令牌(称为过滤访问令牌)。此过滤访问令牌已删除管理权限。Explorer.exe(即所有用户的根目录)使用过滤访问令牌启动,因此所有程序都使用它启动。

可以将其视为反向的 RUNAS。您不再是域管理员,而是沦为小工。实际上,它就是氪石。

相关内容