Isso está relacionado a esta pergunta:
Eu tenho um servidor membro em um novo ambiente de laboratório do AD.
Eu tenho um usuário do Active Directory
ADMIN01
que é membro doDomain Admins
grupoO
Domain Admins
grupo global é um membro doAdministrators
grupo local do servidor membroAs seguintes permissões são configuradas na raiz da minha nova
D:
unidade, adicionada após o servidor se tornar membro do domínio:
Todos - Permissões especiais - Somente esta pasta Atravessar pasta / executar arquivo Listar pasta / ler dados Ler atributos Ler atributos estendidos PROPRIETÁRIO CRIADOR - Permissões especiais - Apenas subpastas e arquivos Controlo total SISTEMA - Esta pasta, subpastas e arquivos Controlo total Administradores - esta pasta, subpastas e arquivos Controlo total
Nas ACLs acima, o usuário do domínio ADMIN01
pode efetuar logon e acessar a D:
unidade, criar pastas e arquivos e tudo está bem.
Se eu remover a Everyone
permissão da raiz desta unidade, os usuários não integrados que são membros do grupo Domain Admins
(por exemplo ADMIN01
) não poderão mais acessar a unidade. A Administrator
conta do domínio está correta.
A máquina local Administrator
e a Domain Admin
conta "Administrador" ainda têm acesso total à unidade, mas qualquer usuário "normal" que foi adicionado a ela Domain Admins
tem acesso negado.
Isso acontece independentemente de eu ter criado o volume e removido a Everyone
permissão de logon como a máquina local Administrator
ou se eu realizo o logon como a Domain Admin
conta "Administrador".
Como mencionado na minha pergunta anterior, a solução alternativa é desabilitar a diretiva "Controle de conta de usuário: execute todos os administradores no modo de aprovação de administrador" localmente no servidor membro ou por meio de um GPO em todo o domínio.
Por que remover a Everyone
conta da D:
ACL da causa esse problema para usuários não internos aos quais foi concedida a associação Domain Admins
?
Além disso, por que esses tipos de Domain Admin
usuários não integrados não são solicitados a elevar suas permissões em vez de apenas serem negados o acesso à unidade?