compartilhamentos de administrador do Windows que permitem acesso indesejado para todos os usuários do domínio

1

Meu problema

Eu tenho um problema com compartilhamentos no meu servidor Windows 2008 R2:

Minhas tentativas de correção

Eu tentei redefinir as permissões dos meus compartilhamentos com a ferramenta icacls ao fazer algo como : icacls C:\SHARE /reset

Sem permissão, as permissões efetivas sempre mostram: " Criar pasta / adicionar dados " para todas as contas de domínio. Então, eu testei com algumas contas para confirmar que ... Sim, funciona ...

A saída icacls em um compartilhamento (usando icacls C:\SHARE ):

C:\SHARE AUTORITE NT\System:(I)(OI)(CI)(F)
     BUILTIN\Administrators:(I)(OI)(CI)(F)
     BUILTIN\Utilisators:(I)(OI)(CI)(RX)
     BUILTIN\Utilisators:(I)(CI)(AD)
     BUILTIN\Users:(I)(CI)(WD)
     CREATEUR PROPRIETAIRE:(I)(OI)(CI)(IO)(F)

Procurei problemas semelhantes, mas só encontrei o oposto.

Clientes usados são o Windows 7.

Não sei o que fazer para solucionar ou resolver.

Atualizar

Funciona bem no Windows Server 2003 R2 usando o mesmo cliente Windows 7.

Eu também testei (no 2008 R2) com controle total e modificação para todos em permissões de compartilhamento e permissões NTFS RX (Read and Execute). Mas sem bons resultados ...

    
por snariom38 28.07.2016 / 15:37

1 resposta

1

All shares including administrative shares as c$ allows all users to create data and create folders.

Por padrão, o grupo administradores locais e o grupo administradores de domínio (quando aplicável) têm permissão para os compartilhamentos administrativos no Windows, portanto, veja as duas sugestões abaixo sobre o que para verificar o status de membro do grupo para ver se isso é o que está causando o que você explica.

Servidor Local

Verifique se as contas não estão em um grupo administrador do servidor local no servidor local. Verifique para ver quais grupos o usuário conta com os problemas nesse nível, apenas no caso.

Domínio

Verifique se as contas não estão no grupo administradores de domínio no AD, se aplicável. Verifique para ver quais grupos o usuário conta com o problema no lado do AD por via das dúvidas.

    
por 01.08.2016 / 16:07