这与这个问题有关:
域pipe理员组拒绝访问d:驱动器
我有一个全新的AD实验室环境中的成员服务器。
我有一个Active Directory用户ADMIN01是Domain Admins组的成员
Domain Admins全局组是成员服务器的本地Administrators组的成员
服务器成为域成员后添加的新的D:驱动器的根目录上configuration了以下权限:
每个人 - 特殊权限 - 仅此文件夹
遍历文件夹/执行文件
列出文件夹/读取数据
阅读属性
阅读扩展属性
创build者所有者 - 特殊权限 - 仅限子文件夹和文件
完全控制
SYSTEM - 这个文件夹,子文件夹和文件
完全控制
pipe理员 - 这个文件夹,子文件夹和文件
完全控制
在上面的ACL下,域用户ADMIN01可以login和访问D:驱动器,创build文件夹和文件,一切都很好。
如果我从该驱动器的根目录中删除Everyone权限,那么属于Domain Admins (例如ADMIN01 )组的非内置用户将无法再访问该驱动器。 域Administrator帐户是好的。
本地计算机Administrator和Domain Admin “pipe理员”帐户仍然可以完全访问该驱动器,但任何已添加到Domain Admins “常规”用户都将被拒绝访问。
无论是否创build卷并删除了以本地计算机Administrator身份login的Everyone权限,还是以Domain Admin “pipe理员”帐户执行login,都会发生这种情况。
正如我上一个问题所述,解决方法是在成员服务器上本地或通过域GPO禁用“用户帐户控制:在pipe理员批准模式下运行所有pipe理员”策略。
为什么从D:的ACL中删除Everyone帐户对于被授予Domain Admins成员资格的非内置用户会导致此问题?
此外,为什么不提供这些types的非内置的Domain Admin用户提升他们的权限,而不是仅仅拒绝访问驱动器?
我自己也注意到了这一点。 会发生什么呢,UAC是因为你使用“本地pipe理员”成员来访问驱动器而开始的,这是UAC所监视的。
对于文件服务器,我个人的最佳做法是不要使用“pipe理员”组来为用户提供权限。
试试这个:创build一个名为“FileServerAdmins”的AD组,或者其他任何东西,将你的用户(或域pipe理员组)添加到它。 使用与现有pipe理员组相同的权限将该组访问权限授予D驱动器。
您应该注意,即使删除“Everyone”权限后,“FileServerAdmins”组中的任何成员仍应具有访问该驱动器的权限,而不会收到UAC提示。
当我发现这一点时,我自己有点震惊,这是UAC的一部分,可以使用一些修改…
看来我并不孤单,遇到这个问题。 关键问题似乎是, Domain Admins非内置用户在UAC方面并不是完全先令,似乎被“特别”对待:
Windows Server 2008 R2和UAC
Windows 2008上的UAC和域pipe理员权限问题 – 第1部分
UAC和域pipe理员权限问题或口袋充满氪石 – 第2部分
最后一个链接的关键段落说明:
基本上,与[所有其他用户不同的是 , 非内置用户是(由我添加的)]域pipe理员被给予两个令牌。 他们有完整的访问令牌(像其他人一样)和第二个访问令牌被称为过滤的访问令牌。 此已过滤的访问令牌已删除pipe理权限。 Explorer.exe(即所有的根目录)都是使用已过滤的访问令牌启动的,因此所有内容都以此启动。
想起来就像RUNAS倒过来一样。 而不是作为一个域pipe理员,你被降低到peon状态。 它实际上是氪石。