Por que remover o grupo TODOS impede que os administradores de domínio acessem uma unidade?


11

Isso está relacionado a esta pergunta:

O grupo Admins. Do domínio negou acesso à unidade d:

Eu tenho um servidor membro em um novo ambiente de laboratório do AD.

  • Eu tenho um usuário do Active Directory ADMIN01que é membro do Domain Adminsgrupo

  • O Domain Adminsgrupo global é um membro do Administratorsgrupo local do servidor membro

  • As seguintes permissões são configuradas na raiz da minha nova D:unidade, adicionada após o servidor se tornar membro do domínio:

    Todos - Permissões especiais - Somente esta pasta
      Atravessar pasta / executar arquivo
      Listar pasta / ler dados
      Ler atributos
      Ler atributos estendidos

    PROPRIETÁRIO CRIADOR - Permissões especiais - Apenas subpastas e arquivos
      Controlo total

    SISTEMA - Esta pasta, subpastas e arquivos
      Controlo total

    Administradores - esta pasta, subpastas e arquivos
      Controlo total

Nas ACLs acima, o usuário do domínio ADMIN01pode efetuar logon e acessar a D:unidade, criar pastas e arquivos e tudo está bem.

Se eu remover a Everyonepermissão da raiz desta unidade, os usuários não integrados que são membros do grupo Domain Admins(por exemplo ADMIN01) não poderão mais acessar a unidade. A Administratorconta do domínio está correta.

A máquina local Administratore a Domain Adminconta "Administrador" ainda têm acesso total à unidade, mas qualquer usuário "normal" que foi adicionado a ela Domain Adminstem acesso negado.

Isso acontece independentemente de eu ter criado o volume e removido a Everyonepermissão de logon como a máquina local Administratorou se eu realizo o logon como a Domain Adminconta "Administrador".

Como mencionado na minha pergunta anterior, a solução alternativa é desabilitar a diretiva "Controle de conta de usuário: execute todos os administradores no modo de aprovação de administrador" localmente no servidor membro ou por meio de um GPO em todo o domínio.

Por que remover a Everyoneconta da D:ACL da causa esse problema para usuários não internos aos quais foi concedida a associação Domain Admins?

Além disso, por que esses tipos de Domain Adminusuários não integrados não são solicitados a elevar suas permissões em vez de apenas serem negados o acesso à unidade?

Respostas:


10

Eu já notei isso. O que acontece é que o UAC entra em ação porque você está usando sua associação de "administradores locais" para obter acesso à unidade, e é exatamente para isso que o UAC monitora.

Para servidores de arquivos, minha melhor prática pessoal é nunca usar o grupo "Administradores" para fornecer permissões aos usuários.

Tente o seguinte: Crie um grupo do AD chamado "FileServerAdmins" ou o que for, adicione seu usuário (ou grupo de administradores do domínio) a ele. Conceda a este grupo acesso à unidade D com as mesmas permissões que o grupo Administradores existente.

Você deve observar que, mesmo após remover a permissão "Todos", todos os membros do grupo "FileServerAdmins" ainda devem ter acesso à unidade, sem obter o prompt do UAC.

Fiquei um pouco chocado quando descobri isso um tempo atrás, é definitivamente uma parte do UAC que poderia usar alguma revisão ...


Quanto mais eu tropeçar em problemas relacionados ao UAC louco (ou seja, quase diariamente), mais eu quero executar uma revisão do código sobre os cérebros dos seus desenvolvedores ...
Massimo

7

Parece que não estou sozinho em encontrar esse problema. A questão em jogo parece ser que os usuários não integrados que Domain Adminsnão são tão completos quanto se trata do UAC e parecem ser tratados "especialmente":

Windows Server 2008 R2 e o UAC

Problema de permissões de administradores de domínio e UAC no Windows 2008 - Parte 1

Emissão de permissões de administrador de domínio e UAC ou bolso cheio de criptonita - parte 2

O parágrafo principal do último link explica:

Basicamente, [usuários não internos que são - (adicionados por mim)] Administradores de Domínio, diferentemente de TODOS OS OUTROS USUÁRIOS, recebem dois tokens. Eles têm o token de acesso completo (como todos os outros) e um segundo token de acesso conhecido como token de acesso filtrado. Esse token de acesso filtrado possui os poderes administrativos removidos. O Explorer.exe (ou seja, a raiz de tudo) é iniciado com o token de acesso filtrado e, portanto, tudo é iniciado com ele.

Pense nisso como RUNAS ao contrário. Em vez de ser um administrador de domínio, você é reduzido ao status de peão. É, de fato, criptonita.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.