Это связано с этим вопросом:
У меня есть рядовой сервер в совершенно новой лабораторной среде AD.
У меня есть пользователь Active Directory ADMIN01 кто является членом Domain Admins группа
В Domain Admins глобальная группа является членом локального Administrators группа
Следующие разрешения настроены в корне моего нового D: диск добавлен после сервер стал членом домена:
Everyone - Special Permissions - This folder only
Traverse folder / execute file
List folder / read data
Read attributes
Read extended attributes
CREATOR OWNER - Special Permissions - Subfolders and files only
Full Control
SYSTEM - This folder, subfolders and files
Full Control
Administrators - This folder, subfolders and files
Full Control
В приведенном выше ACL пользователь домена ADMIN01 может войти в систему и получить доступ к D: диск, создавать папки и файлы и все хорошо.
Если я удалю Everyone разрешение от корня этого диска, а затем не встроенные пользователи, которые являются членами Domain Admins (например. ADMIN01) группа больше не может получить доступ к диску. Домен Administrator аккаунт в порядке.
Локальная машина Administrator и Domain Admin У учетной записи «Администратор» по-прежнему есть полный доступ к диску, но любой «обычный» пользователь, добавленный в Domain Admins отказано в доступе.
Это происходит независимо от того, создал ли я том и удалил ли Everyone разрешение, зарегистрированное как локальный компьютер Administrator или выполняю ли я это в системе как Domain Admin Учетная запись «Администратор».
Как упоминалось в моем предыдущем вопросе, обходной путь заключается в отключении «Контроль учетных записей пользователей: запускать всех администраторов в режиме утверждения администратором» политика либо локально на рядовом сервере, либо через объект групповой политики домена.
Почему удаление Everyone счет от D:ACL вызывает эту проблему для не встроенных пользователей, которым предоставлено членство в Domain Admins?
Также почему эти типы не встроенных Domain Admin пользователям было предложено повысить свои разрешения, а не просто запретить доступ к диску?
Я сам это заметил. Что происходит, так это то, что UAC срабатывает, потому что вы используете членство «локальных администраторов» для получения доступа к диску, и это именно то, что отслеживает UAC.
Для файловых серверов я лично рекомендую никогда не использовать группу «Администраторы» для предоставления разрешений пользователям.
Попробуйте следующее: создайте группу AD под названием «FileServerAdmins» или что-то еще, добавьте в нее своего пользователя (или группу администраторов домена). Предоставьте этой группе доступ к диску D с теми же разрешениями, что и существующей группе администраторов.
Вы должны заметить, что даже после удаления разрешения «Все» любые члены группы «FileServerAdmins» по-прежнему должны иметь доступ к диску, не получая приглашения UAC.
Я сам был немного шокирован, когда обнаружил это некоторое время назад, это определенно часть UAC, которая может потребовать некоторой доработки ...
Похоже, я не одинок с этой проблемой. Проблема, похоже, заключается в том, что не встроенные пользователи, которые Domain Admins не совсем полный шиллинг, когда дело доходит до UAC, и, похоже, к ним относятся «специально»:
Проблема с разрешениями UAC и администраторов домена в Windows 2008 - Часть 1
Проблема с разрешениями UAC и администраторов домена или карман, полный криптонита - Часть 2
Ключевой абзац последней ссылки объясняет:
В принципе, [не встроенные пользователи, которые - (добавлены мной)] Администраторы домена, в отличие от ВСЕХ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ, получают два токена. У них есть токен полного доступа (как и у всех) и второй токен доступа, называемый отфильтрованным токеном доступа. У этого отфильтрованного токена доступа удалены административные полномочия. Explorer.exe (то есть корень всего) запускается с отфильтрованным токеном доступа, и, таким образом, все запускается с ним.
Думайте об этом как о RUNAS наоборот. Вместо того, чтобы быть администратором домена, вы получаете статус пиона. По сути, это криптонит.