Não entendi porque preciso de um token elevado para acessar uma pasta com acesso total

4

Eu pesquisei em torno disso, e tudo que eu posso encontrar é o tipo usual de "eu sou um administrador, mas preciso elevar". Isso não é exatamente o mesmo.

Eu tenho uma unidade D em um servidor de arquivos (2008 r2 e o mesmo problema em 2012 também) com uma pasta que é compartilhada com os usuários. Todos têm acesso a toda a unidade compartilhada pela rede, além de algumas pastas que somente grupos específicos podem acessar.

Configurei isso para que essas subpastas específicas parem de herdar permissões e forneçam acesso total aos grupos em questão (nada a ver com administradores). Eu tenho um usuário de domínio que é um membro do grupo de operadores de backup e todos os grupos de operadores de backup locais em cada máquina no domínio (definido por meio de GPO). Este usuário é usado para executar um programa de sincronização de arquivos, a fim de sincronizar o compartilhamento de arquivos para um NAS todas as noites para backup. Este software também é executado na máquina em questão e não remotamente.

Eu dei ao usuário a capacidade de fazer logon de forma interativa para que eu possa configurar o software nessa conta e testar se o backup funciona antes de criar uma tarefa agendada para ele.

O problema inicialmente era que o software não conseguia acessar as pastas mais protegidas - o que, até onde eu sabia, não era possível com os operadores de backup. Então, em vez disso, adicionei o grupo de operadores de backup explicitamente a essas permissões de pasta com acesso total - o mesmo erro. Então, usando o explorador eu fui encontrar as pastas em questão - e note que eu não estou executando como um administrador, no entanto, apesar deste windows me pediu para elevar.

Agora, essa é a pergunta: por que uma conta não administrativa exige um token de administrador para acessar uma pasta para a qual ele possui permissões completas (por meio de seus operadores de backup de grupo)? Isso não está em uma pasta do sistema, ou unidade do sistema, é apenas uma unidade normal, sob um monte de pastas normais com algumas restrições um pouco mais rígidas sobre elas.

Eu realmente não entendo porque o UAC é necessário neste caso - não tem nada a ver com administradores!

Obrigado

EDITAR:

Permissões nas pastas conforme solicitado pelo comentário:

C:\Windows\system32>icacls "d:\share\support\tech documents"
d:\share\support\tech documents
QUT\access tech docs:(OI)(CI)(F)
QUT\Domain Admins:(OI)(CI)(F)
BUILTIN\Backup Operators:(OI)(CI)(F)

Successfully processed 1 files; Failed processing 0 files


C:\Windows\system32>icacls "d:\share\support"
d:\share\support BUILTIN\Administrators:(F)
Everyone:(I)(OI)(CI)(M)
BUILTIN\Backup Operators:(I)(OI)(CI)(F)
QUT\Enterprise Admins:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(F)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
QUT\Domain Admins:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
BUILTIN\Users:(I)(OI)(CI)(RX)
BUILTIN\Users:(I)(CI)(S,AD)
BUILTIN\Users:(I)(CI)(S,WD)

Successfully processed 1 files; Failed processing 0 files

A pasta acima da que está em questão é simplesmente herdar permissões, os documentos técnicos têm um conjunto de permissões de herança desativadas e explícitas.

    
por icehot 20.06.2013 / 20:49

1 resposta

2

Alguma experimentação rápida confirmou minha suspeita inicial de que Backup Operators é tratado da mesma forma que Administrators , ou seja, um usuário no grupo Backup Operators é considerado um administrador e recebe um token dividido. Isso significa que você precisa elevar para tirar proveito de ser um membro do grupo Backup Operators , exatamente da mesma maneira que precisa elevar para aproveitar o fato de ser um membro do grupo Administrators .

Isso faz sentido, porque códigos maliciosos executados com o privilégio de operador de backup podem facilmente aproveitar esse privilégio para obter acesso ilimitado.

O artigo do MSDN "Ensine seus aplicativos Para jogar bem com o Controle de Conta de Usuário do Windows Vista " inclui uma lista de todos os grupos e privilégios que farão com que um token de divisão seja criado.

Grupos:

  • Administradores internos
  • Usuários avançados
  • Operadores de conta
  • Operadores de servidor
  • Operadores da impressora
  • Operadores de backup
  • Grupo de Servidores RAS
  • Grupo de compatibilidade de aplicações do Windows NT 4.0
  • Operadores de configuração de rede
  • Administradores de domínio
  • Controladores de domínio
  • Editores de certificados
  • Administradores de esquema
  • Administradores de empresas
  • Administradores de políticas de grupo

Privilégios:

  • SeCreateTokenPrivilege
  • SeTcbPrivilege
  • SeTakeOwnershipPrivilege
  • SeBackupPrivilege
  • SeRestorePrivilege
  • SeDebugPrivilege
  • SeImpersonatePrivilege
  • SeRelabelPrivilege

Nota: essa lista foi escrita para o Windows Vista. Não sei se houve alguma alteração nas versões posteriores do Windows.

    
por 21.06.2013 / 00:00