NTFS - администраторы домена не имеют разрешений, несмотря на то, что они входят в группу локальных администраторов.
Согласно «Best Practices» у сотрудников нашего ИТ-отдела есть два аккаунта. Непривилегированная учетная запись и учетная запись, которая является членом глобальной группы администраторов домена ($ DOMAIN \ Domain Admins). На наших файловых серверах группа администраторов домена добавляется в группу локальных администраторов ($ SERVER \ Administrators). Группе локальных администраторов предоставлен полный доступ к этим каталогам. Довольно стандартно.
Однако, если я вхожу на сервер с учетной записью администратора домена, чтобы спуститься в этот каталог, мне нужно утвердить приглашение UAC, в котором говорится: «У вас в настоящее время нет разрешения на доступ к этой папке. Нажмите« Продолжить », чтобы получить постоянный доступ к эту папку. " Нажатие кнопки «Продолжить» дает моей учетной записи администратора домена права доступа к этой папке и ко всему, что находится под ней, несмотря на то, что $ SERVER \ Administrators (членом которой я являюсь через группу администраторов домена) уже имеет полный контроль.
Может ли кто-нибудь объяснить это поведение и то, как лучше всего управлять разрешениями NTFS для общих файловых ресурсов в отношении административных прав с Server 2008 R2 и UAC?
Правильно, UAC срабатывает, когда программа запрашивает права администратора. Например, Explorer, запрашивающий права администратора, потому что это то, что требуют списки контроля доступа NTFS для этих файлов и папок.
У вас есть четыре варианта, о которых я знаю.
Отключите UAC на своих серверах.
- Я все равно делаю это (в общем случае) и утверждаю, что если вам нужен UAC на сервере, вы, вероятно, делаете это неправильно, потому что в целом только администраторы должны входить на серверы, и они должны знать, что они делаю.
- Я все равно делаю это (в общем случае) и утверждаю, что если вам нужен UAC на сервере, вы, вероятно, делаете это неправильно, потому что в целом только администраторы должны входить на серверы, и они должны знать, что они делаю.
Управляйте разрешениями из расширенного интерфейса
- Повышенный
cmdокно,PSОкно или экземпляр проводника все работают, чтобы избежать всплывающего окна UAC. (Run As Administrator)
- Повышенный
Удаленное управление разрешениями NTFS
- Подключайтесь через UNC с машины, на которой не включен UAC.
- Подключайтесь через UNC с машины, на которой не включен UAC.
Создайте дополнительную неадминистративную группу, которая имеет полный доступ в списках контроля доступа NTFS ко всем файлам и папкам, которыми вы хотите управлять, и назначьте для нее своих администраторов.
- Всплывающее окно UAC не должно (не должно) запускаться, потому что Explorer больше не будет требовать административных привилегий, поскольку доступ к файлам предоставляется через другую, неадминистративную группу.
Установите обе эти политики для членов локальной группы администраторов, чтобы они могли изменять файлы и подключаться к общим папкам администратора:
После внесения этих изменений потребуется перезагрузка.
Лучше всего изменить ключ реестра на
реестр :: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ policy \ system; ключ = EnableLUA
Убедитесь, что для него установлено значение 0, чтобы отключить его. Вам необходимо перезагрузить компьютер, чтобы он вступил в силу. Интерфейс может отображать его как отключенный, пока включен реестр.
Вы также можете отключить режим утверждения администратором для администраторов через GPO или в локальной политике безопасности.
Local Security Policy \ Security Settings \ Local Policies \ Security Options \ User Account Control: запускать всех администраторов в режиме утверждения администратором - отключено