Я зарегистрирован как администратор домена в Windows Server 2016 (член сервера моего домена). Создаю второй раздел NTFS (e :) и удаляю доступ к локальному пользователи group (мне не нужен доступ администратора к e :). Я создаю папку тест в корне е:
тест наследовать ACL от родительского (e :).
Из Explorer.exe, прямо на сервере, при попытке войти на тест, Я получаю всплывающее окно безопасности. Если я принимаю: новый ACE создается с моей учетной записью на тест. Я отказался. У меня нет проблем с местными администратор учетная запись.
PS E:\> (Get-Acl e:\).Access
FileSystemRights : ReadAndExecute, Synchronize
AccessControlType : Allow
IdentityReference : Tout le monde
IsInherited : False
InheritanceFlags : None
PropagationFlags : None
FileSystemRights : FullControl
AccessControlType : Allow
IdentityReference : CREATEUR PROPRIETAIRE
IsInherited : False
InheritanceFlags : ContainerInherit, ObjectInherit
PropagationFlags : InheritOnly
FileSystemRights : FullControl
AccessControlType : Allow
IdentityReference : AUTORITE NT\Système
IsInherited : False
InheritanceFlags : ContainerInherit, ObjectInherit
PropagationFlags : None
FileSystemRights : FullControl
AccessControlType : Allow
IdentityReference : BUILTIN\Administrateurs
IsInherited : False
InheritanceFlags : ContainerInherit, ObjectInherit
PropagationFlags : None
PS E:\> (Get-Acl e:\test).Access
FileSystemRights : FullControl
AccessControlType : Allow
IdentityReference : BUILTIN\Administrateurs
IsInherited : True
InheritanceFlags : None
PropagationFlags : None
FileSystemRights : FullControl
AccessControlType : Allow
IdentityReference : CREATEUR PROPRIETAIRE
IsInherited : True
InheritanceFlags : ContainerInherit, ObjectInherit
PropagationFlags : InheritOnly
FileSystemRights : FullControl
AccessControlType : Allow
IdentityReference : AUTORITE NT\Système
IsInherited : True
InheritanceFlags : ContainerInherit, ObjectInherit
PropagationFlags : None
FileSystemRights : FullControl
AccessControlType : Allow
IdentityReference : BUILTIN\Administrateurs
IsInherited : True
InheritanceFlags : ContainerInherit, ObjectInherit
PropagationFlags : InheritOnly
PS E:\> Get-LocalGroupMember administrateurs
ObjectClass Name PrincipalSource
----------- ---- ---------------
Groupe ADM\Admins du domaine ActiveDirectory
Utilisateur FILESERVER\Administrateur Local
PS E:\> Get-ADPrincipalGroupMembership $env:username|? name -eq 'admins du domaine'
distinguishedName : CN=Admins du domaine,CN=Users,DC=adm,DC=sb1
GroupCategory : Security
GroupScope : Global
name : Admins du domaine
objectClass : group
objectGUID : 700378f7-5025-4e24-b293-343ba0f7fcf6
SamAccountName : Admins du domaine
SID : S-1-5-21-2142639626-767165437-316617838-512
Если я не удалю доступ к локальным пользователи группа в e :, мне не предлагается получить доступ к тест Потому что ACE с моим именем создается автоматически.
В эффективный доступ вкладка показывает, что у моей учетной записи есть полный контроль, унаследованный от родительской папки, в локальную администраторы группа.
С другого компьютера в домене с моей учетной записью администратора домена я могу получить доступ без безопасности всплывающее окно \\ файловый сервер \ е $ \ тест (без ТУЗА моего имени).
Вопрос в том, как каждый администратор домена может получить доступ к файлам локально, не создавая индивидуальный ACE для каждой учетной записи администратора домена?
Контроль учетных записей пользователей ограничивает возможность Explorer напрямую использовать членство пользователя в определенных группах, включая локальную группу «Администраторы» и глобальную группу «Администраторы домена».
Однако это ограничение распространяется только на определенные особые группы, и в частности это делает не применяются к группам, которые содержат эти группы. Это означает, что вы можете решить свою проблему, создав глобальную группу в домене с названием, скажем, «Администраторы моего домена» и добавив группу администраторов домена в качестве члена «Администраторы моего домена».
Если вы затем предоставите моим администраторам домена полное разрешение на диск E, все члены группы администраторов домена будут иметь полный доступ к этому диску при локальном входе в систему.