Hierarquia de privilégio de usuário do Windows

É possível no Windows criar uma conta "semi-admin"? Por exemplo, é possível criar uma conta de administrador adicional com o único fator limitante sendo que ela é menor na hierarquia de permissões que a conta de administrador original (ou seja, não pode matar nenhum processo iniciado pela conta de administrador original nem apropriar-se de seus arquivos etc.)

Eu não estou conseguindo encontrar qualquer conversa sobre isso na internet e ter problemas para fazer isso sozinho.

Isso deve funcionar em teoria. Se o Windows NT oferecer suporte a algo como isso para Servidores, certamente ele também deverá ser viável para uma edição regular do Windows 7 não empresarial?

desde já, obrigado

DTS

— DST
fonte

Meu objetivo, porém, é ter dois administradores, ambos com as mesmas permissões, só que um está acima do outro, o que significa que o mais baixo não pode excluir arquivos e matar processos criados pelo mais alto. Isso é definitivamente possível? Existem programas de terceiros, mesmo que descobrem essa funcionalidade (porque, em teoria, deveria funcionar)? Obrigado.

— DST

Então, como as edições do Windows Server implementam hierarquias de administrador? Eu entendo que eles usam o Active Directory, mas isso não significa que ele é realmente escrito no Kernel do Windows NT? Obrigado.

— DST

TL; DR:

As próprias permissões não são hierárquicas no Windows, portanto você não pode atribuir um direito com base no "nível" de um usuário. São permissões individuais atribuídas a um recurso para cada usuário. Um diagrama de Venn é uma boa analogia - se um usuário cair no círculo certo, ele poderá executar a ação associada.

Em mais detalhes

No Windows, cada recurso (arquivo, processo, entrada de registro, etc.) possui uma lista de controle de acesso (ACL) com uma ou mais entradas que define quais usuários têm permissão no recurso. Além disso, você pode (e deve) atribuir a permissão a um grupo e adicionar o usuário ao grupo.

Um administrador é simplesmente um usuário que pertence a um grupo (Administradores) que, por padrão, tem todas as permissões em todos os recursos (bem, na maioria das vezes, mas esse é outro post).

Existem outros grupos padrão que possuem um subconjunto dessas permissões que podem se adequar ao seu requisito:

Grupos locais: https://technet.microsoft.com/pt-br/library/cc771990(v=ws.11).aspx

Grupos do Active Directory: https://technet.microsoft.com/pt-br/library/dn579255(v=ws.11).aspx

Você também pode criar seus próprios grupos que tenham um subconjunto das permissões atribuídas a um subconjunto dos recursos: https://technet.microsoft.com/pt-br/library/cc754344(v=ws.11).aspx

Há muitas nuances para definir permissões para que elas (1) tenham o efeito pretendido e (2) sejam passíveis de manutenção e eu recomendo veementemente a leitura de algumas práticas recomendadas antes de ir muito longe, mas alguns indicadores gerais para as permissões NTFS são:

adicione usuários a grupos e atribua permissões ao grupo (não ao usuário!)
use grupos aninhados para melhor organização, por exemplo, U: BSmith - & gt; G: contabilidade - & gt; G: PayrollUsers - & gt; ACL
dar aos grupos o menor privilégio de que precisam para realizar o trabalho definido pelo grupo
Permissões são aditivas. Ou seja Se um usuário pertencer a dois grupos diferentes, ele poderá fazer qualquer coisa que um grupo possa fazer.
Negar permissões de substituição permitem permissões. Ou seja Se um usuário pertencer a dois grupos diferentes, será permitido que qualquer grupo possa fazer, menos qualquer coisa que um dos grupos seja especificamente negado.

Se você estiver fazendo algo de missão crítica, recomendo fortemente que alguém com experiência o ajude. Existem muitas maneiras de causar efeitos colaterais indesejados.

— Jens Ehrich
fonte

Eu estava com medo de que essa fosse a resposta. Obrigado mesmo assim!

— DST