Não entendi porque preciso de um token elevado para acessar uma pasta com acesso total

4

Eu procurei por isso, e tudo que eu posso encontrar é o tipo usual de "eu sou um administrador, mas preciso elevar". Isso não é exatamente o mesmo.

Eu tenho uma unidade D em um servidor de arquivos (2008 r2 e mesmo problema configurando-se em 2012 também) com uma pasta que é compartilhada com os usuários. Todos têm acesso a toda a unidade compartilhada pela rede, além de algumas pastas que somente grupos específicos podem acessar.

Configurei isso para que essas subpastas específicas parem de herdar permissões e forneçam acesso total aos grupos em questão (nada a ver com os administradores). Eu tenho um usuário de domínio que é um membro do grupo de operadores de backup e todos os grupos de operadores de backup locais em cada máquina no domínio (definido por meio do GPO). Este usuário é usado para executar um programa de sincronização de arquivos, a fim de sincronizar o compartilhamento de arquivos para um NAS todas as noites para backup. Este software também é executado na máquina em questão e não remotamente.

Eu dei ao usuário a capacidade de fazer logon interativamente para que eu possa configurar o software nessa conta e testar se o backup funciona antes de criar uma tarefa agendada para ele.

O problema inicialmente era que o software não conseguia acessar as pastas mais protegidas - o que, até onde eu sabia, não era possível com os operadores de backup. Então, em vez disso, adicionei o grupo de operadores de backup explicitamente a essas permissões de pasta com acesso total - o mesmo erro. Então, usando o explorador eu fui encontrar as pastas em questão - e note que não estou executando como administrador, no entanto apesar deste windows me pediu para elevar.

Agora, essa é a pergunta: por que uma conta não administrativa exige um token de administrador para acessar uma pasta para a qual ele possui permissões completas (por meio de seus operadores de backup de grupo)? Isso não está em uma pasta do sistema, ou unidade do sistema, é apenas uma unidade normal, sob um monte de pastas normais com algumas restrições um pouco mais rígidas sobre elas.

Eu realmente não entendo porque o UAC é necessário neste caso - não tem nada a ver com administradores!

obrigado

EDITAR:

Permissões nas pastas conforme solicitado pelo comentário: 

C:\Windows\system32>icacls "d:\share\support\tech documents"
d:\share\support\tech documents
QUT\access tech docs:(OI)(CI)(F)
QUT\Domain Admins:(OI)(CI)(F)
BUILTIN\Backup Operators:(OI)(CI)(F)

Successfully processed 1 files; Failed processing 0 files


C:\Windows\system32>icacls "d:\share\support"
d:\share\support BUILTIN\Administrators:(F)
Everyone:(I)(OI)(CI)(M)
BUILTIN\Backup Operators:(I)(OI)(CI)(F)
QUT\Enterprise Admins:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(F)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
QUT\Domain Admins:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
BUILTIN\Users:(I)(OI)(CI)(RX)
BUILTIN\Users:(I)(CI)(S,AD)
BUILTIN\Users:(I)(CI)(S,WD)

Successfully processed 1 files; Failed processing 0 files

A pasta acima em questão é simplesmente herdar as permissões, os documentos técnicos têm uma herança desativada e permissões explícitas definidas.

windows  backup  permissions  windows-server-2008-r2  uac 
icehot
fonte
Mais informações sobre as permissões na pasta são necessárias. Vamos começar com quais grupos (Usuários, Administrador, ...) têm acesso a essa pasta. Verifique as permissões das pastas pai também.
Ramhound
Acabei de atualizar a pergunta original com as permissões.
icehot

Respostas:

2

Alguma experimentação rápida confirmou minha suspeita inicial de que Backup Operators é tratado da mesma forma que Administrators, ou seja, um usuário no Backup Operators O grupo é considerado um administrador e recebe um token dividido. Isso significa que você precisa elevar para tirar proveito de ser um membro do Backup Operators grupo, exatamente da mesma maneira que você precisa elevar para tirar proveito de ser um membro do Administrators grupo.

Isso faz sentido, porque o código mal-intencionado executado com o privilégio de operador de backup pode facilmente aproveitar esse privilégio para obter acesso ilimitado.

O artigo do MSDN "Ensine seus aplicativos a serem reproduzidos com controle de conta de usuário do Windows Vista" inclui uma lista de todos os grupos e privilégios que farão com que um token dividido seja criado.

Grupos:

  • Administradores Integrados
  • Usuários avançados
  • Operadores de conta
  • Operadores de Servidores
  • Operadores de Impressora
  • Operadores de backup
  • Grupo Servidores RAS
  • Grupo de aplicativos do Windows NT 4.0
  • Operadores de configuração de rede
  • Administradores de Domínio
  • Controladores de domínio
  • Editores de Certificados
  • Administradores de Esquema
  • Administradores de Empresas
  • Administradores de Política de Grupo

Privilégios:

  • SeCreateTokenPrivilege
  • SeTcbPrivilege
  • Privilégio SeTakeOwnership
  • SeBackupPrivilege
  • SeRestorePrivilege
  • SeDebugPrivilege
  • SeImpersonatePrivilege
  • SeRelabelPrivilege

Nota: essa lista foi escrita para o Windows Vista. Não sei se houve alguma alteração nas versões posteriores do Windows.

Harry Johnston
fonte
1
Obrigado, isso faz sentido, mas torna o teste mais complicado, já que não há "operador de backup runas";)
icehot
Se você realmente não precisa de privilégios de backup / restauração, sugiro que você crie um novo grupo ("Meus Operadores de Backup") e dê a esse grupo acesso à (s) pasta (s) em questão. Se você precisa de privilégio de backup / restauração, talvez apenas faça os administradores de contas relevantes?
Harry Johnston
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.