1

Я закрепил диск на своем сервере, чтобы разрешить доступ только Local Administrators . Domain Admins являются частью группы Local Administrators .

Когда я вхожу в систему как администратор, папка становится доступной только в том случае, если я предоставляю себе разрешения непосредственно для накопителя (вместо использования вложенных разрешений группы « Local Administrators »). Однако, если я завершу процесс Explorer.exe и запустлю его от имени администратора, у меня будет доступ с использованием вложенных разрешений.

Если я вхожу в систему как локальный администратор, все работает нормально. Ни одна из учетных записей администратора домена не может открыть диск без предоставления им разрешений.

Что еще более странно, если администратор домена обращается к диску в качестве общего сетевого ресурса или административного общего ресурса, все также работает нормально.

Это случилось со мной как с Server 2012 R2, так и с 2008 R2.

|источник

1 ответ1

1

UAC меняет ваши административные разрешения

Поведение, которое вы описываете, разработано. Это результат того, что ваша учетная запись имеет действительное членство в группе Administrators локального компьютера, удаленной с помощью контроля учетных записей (UAC):

Когда администратор входит в систему, пользователю предоставляется два токена доступа: токен полного доступа администратора и "отфильтрованный" токен стандартного доступа пользователя. По умолчанию, когда член локальной группы "Администраторы" входит в систему, административные привилегии Windows отключаются, а повышенные права пользователя удаляются, в результате чего получается стандартный маркер доступа пользователя. Затем для запуска рабочего стола используется стандартный токен доступа пользователя (Explorer.exe). Explorer.exe - это родительский процесс, от которого все другие инициированные пользователем процессы наследуют свой токен доступа. В результате все приложения по умолчанию запускаются как стандартные пользователи, если только пользователь не предоставит согласие или учетные данные для утверждения приложения на использование маркера полного административного доступа. (Источник: TechNet)

Вот визуальное описание того, что происходит:

Несмотря на то, что ваша учетная запись пользователя является действительным членом группы локальных Administrators , эти разрешения отсутствуют в вашем маркере доступа при доступе к диску, что приводит к тому, что вам отказывают в разрешениях (или UAC запрашивает явные разрешения для вашей учетной записи). получить доступ к диску). И наоборот, когда вашей учетной записи пользователя предоставлены явные разрешения на диск, у вас есть обычный доступ, поскольку UAC лишает вас только вашего членства в группе « Administrators ».

Если я вхожу в систему как локальный администратор, все работает нормально.

При входе со встроенной учетной записью администратора UAC по умолчанию отключается . В результате вышеописанный процесс фильтрации токенов не выполняется.

...Если администратор домена получает доступ к диску как сетевой ресурс или как административный ресурс, все также работает нормально.

UAC не влияет на ресурсы, расположенные в сети. Он работает только на локальном компьютере. Поэтому, поскольку эти учетные записи имеют доступ к ресурсам, а UAC не фильтрует этот доступ, им не запрещен доступ к объекту.

Безопасный обходной путь

Поскольку отключение UAC не рекомендуется для повышения безопасности, используйте этот простой обходной путь:

  1. Создайте группу домена, такую как Data Volume Administrators
  2. Сделать Domain Administrators членом группы Data Volume Administrators
  3. Предоставить данные группы Data Volume Administrators NTFS разрешения Полный доступ к объему.

В результате вы получите полный доступ к объекту, так как UAC не откажется от вашего членства в группе Data Volume Administrators .

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .