Unidade segura somente disponível se o Windows Explorer for executado como um Administrador

Navegue suas respostas
1

Eu garantai uma unidade no meu servidor para permitir apenas Local Administrators de acesso. Domain Admins fazem parte do grupo Local Administrators .

Quando eu fizer logon como administrador, a pasta só estará acessível se eu me conceder permissões diretamente para a unidade (em vez de usar as permissões aninhadas do grupo Local Administrators ). No entanto, se eu terminar o processo Explorer.exe e executá-lo como administrador, eu acesso usando permissões aninhadas.

Se eu fizer logon como administrador local, tudo funcionará bem. Nenhuma das contas de administrador de domínio pode abrir a unidade sem conceder a si própria permissões.

Para tornar as coisas mais estranhas, se um administrador de domínio acessar a unidade como um compartilhamento de rede ou como um compartilhamento administrativo, tudo funcionará bem também.

Isso aconteceu comigo com o Server 2012 R2 e o 2008 R2.

    
por Dynacel 18.06.2015 / 02:54

1 resposta

1

O UAC está modificando suas permissões administrativas

O comportamento que você está descrevendo é por design. É o resultado de sua conta ter sua associação efetiva no grupo Administrators da máquina local, removida por Controle de conta de usuário (UAC) :

When an administrator logs on, the user is granted two access tokens: a full administrator access token and a "filtered" standard user access token. By default, when a member of the local Administrators group logs on, the administrative Windows privileges are disabled and elevated user rights are removed, resulting in the standard user access token. The standard user access token is then used to launch the desktop (Explorer.exe). Explorer.exe is the parent process from which all other user-initiated processes inherit their access token. As a result, all applications run as a standard user by default unless a user provides consent or credentials to approve an application to use a full administrative access token. (Source: TechNet)

Veja uma descrição visual do que está acontecendo:

Emborasuacontadeusuáriosejaummembroefetivodogrupo%local_de_conta,essaspermissõesnãoestãopresentesemseutokendeacessoquandovocêacessaaunidade,resultandonasuapermissãodenegação(ousolicitadapeloUACparaconcedersuacontaexplícitapermissõesparaacessaraunidade).Poroutrolado,quandoasuacontadeusuáriorecebepermissõesexplícitasparaaunidade,vocêtemacessonormal,poissomenteasuaparticipaçãonogrupoAdministratorséremovidapeloUAC.

IfIlogonasthelocaladministrator,everythingworksfine.

QuandovocêfazlogoncomacontainternaAdministrador,o UAC está desativado por padrão. Como resultado, o processo de filtragem de tokens acima não ocorre.

...If a domain admin access the drive as a network share, or as an administrative share, everything works fine as well.

O UAC não afeta os recursos localizados na rede. Só funciona no computador local. Portanto, como essas contas têm acesso aos recursos e o UAC não está filtrando esse acesso, elas não são impedidas de acessar o objeto.

Uma solução segura

Como a desabilitação do UAC não é incentivada para aumentar a segurança, use esta solução alternativa simples:

  1. Crie um grupo de domínio, como Administrators
  2. Torne Data Volume Administrators um membro do grupo Domain Administrators
  3. Conceda as permissões Data Volume Administrators group do Controle Total do NTFS ao volume.

O efeito líquido é que você terá acesso total ao objeto, já que o UAC não tira sua participação do grupo Data Volume Administrators .

    
por 18.06.2015 / 03:31

Tags

A macro do Outlook 2013 de repente não funciona mais Tempo de atividade do eco no linux