为什么 Explorer 要求我控制该文件夹?

tag-icon tag-icon windows active-directory access-control-list ntfs
为什么 Explorer 要求我控制该文件夹?

我在 Windows Server 2016(我的域的服务器成员)上以域管理员身份登录。我创建了第二个 NTFS 分区 (e:),并删除了对本地用户组(我不想让非域管理员访问 e:)。我创建了一个文件夹测试在 e 的根部:

测试从父级继承 ACL(e:)。

从 Explorer.exe,直接在服务器上,当我尝试输入测试,我会收到一个安全弹出窗口。如果我接受:将使用我的帐户创建一个新的 ACE测试。我丢弃了。我对本地行政人员帐户。

PS E:\> (Get-Acl e:\).Access


FileSystemRights  : ReadAndExecute, Synchronize
AccessControlType : Allow
IdentityReference : Tout le monde
IsInherited       : False
InheritanceFlags  : None
PropagationFlags  : None

FileSystemRights  : FullControl
AccessControlType : Allow
IdentityReference : CREATEUR PROPRIETAIRE
IsInherited       : False
InheritanceFlags  : ContainerInherit, ObjectInherit
PropagationFlags  : InheritOnly

FileSystemRights  : FullControl
AccessControlType : Allow
IdentityReference : AUTORITE NT\Système
IsInherited       : False
InheritanceFlags  : ContainerInherit, ObjectInherit
PropagationFlags  : None

FileSystemRights  : FullControl
AccessControlType : Allow
IdentityReference : BUILTIN\Administrateurs
IsInherited       : False
InheritanceFlags  : ContainerInherit, ObjectInherit
PropagationFlags  : None

PS E:\> (Get-Acl e:\test).Access


FileSystemRights  : FullControl
AccessControlType : Allow
IdentityReference : BUILTIN\Administrateurs
IsInherited       : True
InheritanceFlags  : None
PropagationFlags  : None

FileSystemRights  : FullControl
AccessControlType : Allow
IdentityReference : CREATEUR PROPRIETAIRE
IsInherited       : True
InheritanceFlags  : ContainerInherit, ObjectInherit
PropagationFlags  : InheritOnly

FileSystemRights  : FullControl
AccessControlType : Allow
IdentityReference : AUTORITE NT\Système
IsInherited       : True
InheritanceFlags  : ContainerInherit, ObjectInherit
PropagationFlags  : None

FileSystemRights  : FullControl
AccessControlType : Allow
IdentityReference : BUILTIN\Administrateurs
IsInherited       : True
InheritanceFlags  : ContainerInherit, ObjectInherit
PropagationFlags  : InheritOnly

PS E:\> Get-LocalGroupMember administrateurs

ObjectClass Name                           PrincipalSource
----------- ----                           ---------------
Groupe      ADM\Admins du domaine          ActiveDirectory
Utilisateur FILESERVER\Administrateur      Local

PS E:\> Get-ADPrincipalGroupMembership $env:username|? name -eq 'admins du domaine'

distinguishedName : CN=Admins du domaine,CN=Users,DC=adm,DC=sb1
GroupCategory     : Security
GroupScope        : Global
name              : Admins du domaine
objectClass       : group
objectGUID        : 700378f7-5025-4e24-b293-343ba0f7fcf6
SamAccountName    : Admins du domaine
SID               : S-1-5-21-2142639626-767165437-316617838-512

如果我不删除对本地的访问权限用户群组地址为 e:,我没有收到访问测试因为以我的名字命名的 ACE 是自动创建的。

有效访问选项卡显示我的帐户拥有完全控制权,从父文件夹继承到本地管理员团体。

使用我的域管理员帐户,我可以从域中的另一台计算机访问,无需安全弹出窗口\\文件服务器\e$\test(没有我的名字的 ACE)。

问题是,每个域管理员如何才能本地访问文件,而无需为每个域管理员帐户创建单独的 ACE?

答案1

用户帐户控制限制 Explorer 直接使用用户某些组的成员身份的能力,包括管理员本地组和域管理员全局组。

然而,这一限制仅适用于某些特殊群体,尤其是它不是应用于包含这些组的组。这意味着您可以通过在域中创建一个名为“我的域管理员”的全局组并将域管理员组添加为我的域管理员的成员来解决您的问题。

如果您授予我的域管理员对 E 驱动器的完全权限,则域管理员组的所有成员在本地登录时都将拥有对该驱动器的完全访问权限。

相关内容