Разрешения на общий доступ и безопасность для доменных и локальных пользователей и групп

Question

Я считаю, что я имею дело с пробелом в знаниях. Я думаю, что я понимаю это около 80%, но, видимо, этого недостаточно. Подобные вопросы мучили меня долгое время. Я постараюсь быть ясным, насколько это возможно. Серверная ОС Windows 2003 R2 Standard SP2. Настольная ОС Windows 7 Pro SP1 и немного Windows XP Pro SP3.

Итак, у меня есть домен под названием DOM1. В домене у меня есть пользователь по имени Ralph. Ральф входит в группу «Администраторы домена» и группу «Пользователи домена». У меня есть рабочая станция с именем MY-WS. Эта рабочая станция является частью домена DOM1. Я вошел в MY-WS как Dom1\Ralph. Я добавил группу администраторов домена DOM1 во встроенную группу администраторов на MY-WS. В настоящее время меня не волнуют какие-либо локальные пользователи или группы на MY-WS. Я создаю папку на рабочем столе (не думаю, что это имеет значение, где) и удаляю наследование и удаляю все, кроме группы «Локальные администраторы» со вкладки «Безопасность» и подтверждаю, что группа «Локальные администраторы» имеет разрешения «Полный доступ» для этой папки. Я могу сделать то же самое с вкладкой «Общий доступ» с похожими результатами.

Это почти все, что мне нужно, чтобы задать свои вопросы. Насколько я понимаю, любой пользователь в локальной группе администраторов имеет неограниченный контроль над этой рабочей станцией. Я также подумал, что если пользователь был членом группы, то добавление группы было таким же, как добавление пользователя. Не уверен, имеет ли это какое-либо отношение к домену против локальных групп и пользователей. Когда я пытаюсь открыть папку, я получаю следующее всплывающее окно (изображение 1). В настоящее время у вас нет прав доступа к этой папке. нажмите «Продолжить», чтобы навсегда получить доступ к этой папке. Если я отвечаю Отмена, ничего не происходит, и я не могу получить доступ к папке. Если я отвечаю «Продолжить», я получаю доступ к папке, и когда я снова проверяю вкладку «Безопасность» в папке, DOM1\Ralph был добавлен с полным доступом. Эту часть я не понимаю. Мне всегда говорили использовать группы, а не пользователей для подобных вещей, поэтому, если люди меняются или вы хотите добавить или удалить доступ для отдельных лиц, это гораздо меньше, чем логистический кошмар.

Есть много других примеров, подобных этому, но у меня есть чувство, что когда один из вас, более образованных людей, прочитает это, вы скажете: «О, да, конечно, да, и вот почему». Во всяком случае, думал, что я сделаю это. Большое спасибо заранее за вашу помощь и сотрудничество.

Answer 1

Хитрость здесь заключается в контроле учетных записей пользователей. Каждая программа запускается под учетной записью пользователя, а точнее с токеном. Каждый токен содержит идентификатор безопасности (SID, в основном идентификатор пользователя), список групп, в которые входит пользователь, и какие привилегии включены в данный момент. UAC следит за тем, чтобы определенные группы не были активны постоянно; это защищает машину от случайных административных действий (скажем, от троянского коня). Запустите whoami /all чтобы увидеть полное содержимое токена.

Если вы запустите эту команду как администратор из необновленной командной строки, вы увидите, что вы являетесь участником локальной группы администраторов, но это членство "используется только для отказа" - программы, работающие под этим токеном, на самом деле не имеют административная власть. Группа Администраторов домена, а также пара других важных (например, Операторы резервного копирования) подлежат этой проверке. "Разрешить" записи ACL, относящиеся к этим группам, не будут применяться, если пользователь не имеет прав. (Попробуйте whoami /all в приглашении администратора - все членство в группах и множество привилегий включены.)

Когда вы берете под контроль папку, вы используете административный SeRestorePrivilege ("Восстановление файлов и каталогов", который позволяет вам записывать в файл все, включая ACL), чтобы добавить в ACL запись "Полный доступ" для вашей учетной записи . Поскольку ваш SID никогда не подвергается извлечению токенов UAC, все программы, работающие по мере того, как вы сможете осуществлять это управление.

Если бы вы попытались получить доступ к этой папке (перед добавлением определенного ACE) с помощью программы с повышенными правами - скажем, explorer.exe работающего от имени администратора или администратора, - вы бы добились успеха. Отключение UAC (не рекомендуется) приведет к тому, что все программы будут работать, поскольку у вас есть все права доступа.