Permissões de compartilhamento e segurança para usuários e grupos de domínio e locais

1

Eu acredito que estou lidando com uma lacuna de conhecimento. Acho que entendo isso em 80%, mas aparentemente isso não é suficiente. Perguntas como essa me atormentam há muito tempo. Vou tentar ser o mais claro possível. SO do servidor Windows 2003 R2 Standard SP2. Ambiente de trabalho SO Windows 7 Pro SP1 e algum Windows XP Pro SP3.

Então eu tenho um domínio chamado DOM1. No domínio eu tenho um usuário chamado Ralph. Ralph está no grupo Admins. Do Domínio e no grupo Usuários do Domínio. Eu tenho uma estação de trabalho chamada MY-WS. Esta estação de trabalho faz parte do domínio DOM1. Estou logado no MY-WS como Dom1 \ Ralph. Eu adicionei o grupo DOM1 Domain Admins ao grupo Administradores internos no MY-WS. Por enquanto, não me importo com nenhum usuário ou grupo local no MY-WS. Eu crio uma pasta na área de trabalho (não acho que importa onde) e remover a herança e remover todos, mas o grupo Administradores Local da guia Segurança e confirmar que o grupo Administradores Local tem permissões Controle Total nessa pasta. Eu posso fazer o mesmo com a guia Compartilhamento com resultados semelhantes.

Isso é praticamente tudo que eu preciso fazer minhas perguntas. Meu entendimento é que qualquer usuário no grupo Administradores local tem controle ilimitado dessa estação de trabalho. Também achei que, se um usuário fosse membro de um grupo, adicionar o grupo seria o mesmo que adicionar o usuário. Não tenho certeza se tem alguma coisa a ver com grupos e usuários do Domínio vs. locais. Quando eu tento abrir a pasta eu recebo o seguinte popup ( image 1 ). Atualmente, você não tem permissão para acessar esta pasta. clique em continuar para obter permanentemente acesso a esta pasta. Se eu responder Cancelar, nada acontece e não consigo acessar a pasta. Se eu responder continuar, obtenho acesso à pasta e quando eu verificar a guia Segurança na pasta novamente, DOM1 \ Ralph foi adicionado com controle total. Essa é a parte que não entendo. Sempre me disseram para usar grupos e não usuários para coisas como essa, então, se as pessoas mudam ou se você quer adicionar ou remover o acesso de indivíduos, é muito menos um pesadelo logístico.

Existem muitos outros exemplos como este, mas tenho a sensação de que quando um de vocês aprendeu mais as pessoas a ler isso, você irá "Ohhhhhh, sim, claro que sim e é por isso". Enfim, pensei que eu iria dar um tiro. Muito obrigado por sua ajuda e cooperação.

    
por Ian G 15.11.2015 / 17:40

1 resposta

1

O truque aqui é o Controle de Conta de Usuário. Todo programa é executado sob uma conta de usuário, mas mais especificamente um token . Cada token contém um identificador de segurança (SID, basicamente, um ID do usuário), uma lista de grupos dos quais o usuário é membro e quais privilégios estão ativados no momento. O UAC garante que determinadas associações de grupo não estejam ativas o tempo todo; isso protege a máquina de ações administrativas acidentais (digamos, de um cavalo de tróia). Execute whoami /all para ver o conteúdo completo de um token.

Se você executar esse comando como administrador a partir de um prompt de comando não elevado, verá que é um membro do grupo Administradores local, mas essa associação é "usada apenas para negação" - programas executados sob esse token don ' t realmente tem poder administrativo. O grupo de administradores do domínio, bem como alguns outros importantes (por exemplo, operadores de backup) estão sujeitos a essa verificação. "Permitir" entradas da ACL que se referem a esses grupos não serão aplicadas, a menos que o usuário seja elevado. (Tente whoami /all em um prompt de administrador - todos os membros do grupo e uma série de privilégios estão habilitados.)

Quando você assume o controle de uma pasta, usa seu administrativo SeRestorePrivilege ("Restaurar arquivos e diretórios", que permite escrever qualquer coisa, incluindo ACLs em qualquer arquivo) para adicionar uma entrada "permitir" Controle total para sua conta para o ACL. Uma vez que o seu SID nunca está sujeito à remoção de tokens do UAC, todos os programas em execução poderão exercer esse controle.

Se você tentou acessar essa pasta (antes de adicionar a ACE específica) com um programa elevado - digamos, explorer.exe executando como admin ou um prompt de administração - você teria obtido êxito. Desativar o UAC (não recomendado) resultaria em todos os programas em execução, já que você tem todo o seu acesso o tempo todo.

    
por 15.11.2015 / 18:27