Por que a remoção do grupo TODOS impede que os administradores de domínio acessem uma unidade?

Navegue suas respostas
11

Isso está relacionado a essa pergunta:

Domain Admins group denied access to d: drive

Eu tenho um servidor membro em um novo ambiente de laboratório AD.

  • Eu tenho um usuário do Active Directory ADMIN01 que é membro do grupo Domain Admins

  • O grupo global Domain Admins é membro do grupo Administrators local do servidor membro

  • As seguintes permissões são configuradas na raiz da minha nova unidade D: adicionada após o servidor se tornou um membro do domínio: 


    Everyone - Special Permissions - This folder only
      Traverse folder / execute file
      List folder / read data
      Read attributes
      Read extended attributes

    CREATOR OWNER - Special Permissions - Subfolders and files only
      Full Control

    SYSTEM - This folder, subfolders and files
      Full Control

    Administrators - This folder, subfolders and files
      Full Control

Sob as ACLs acima, o usuário do domínio ADMIN01 pode fazer logon e acessar a unidade D: , criar pastas e arquivos e tudo é bom.

Se eu remover a permissão Everyone da raiz dessa unidade, os usuários não internos que são membros do grupo Domain Admins (por exemplo, ADMIN01 ) não poderão mais acessar a unidade. O domínio Administrator conta está bem.

A máquina local Administrator e a conta Domain Admin "Administrador" ainda têm acesso total à unidade, mas qualquer usuário "regular" que tenha sido adicionado a Domain Admins terá o acesso negado.

Isso acontece independentemente de eu ter criado o volume e removido a permissão Everyone conectada como a máquina local Administrator ou se eu fizer isso com logon como a conta Domain Admin "Administrador".

Como mencionado em minha pergunta anterior, a solução é desativar a política "Controle de conta de usuário: executar todos os administradores no modo de aprovação de administrador" localmente no servidor membro ou por meio de um GPO amplo de domínio .

Por que a remoção da conta Everyone da ACL de D: causa esse problema para usuários não internos aos quais é concedida a associação de Domain Admins ?

Além disso, por que esses tipos de Domain Admin de usuários não internos são solicitados a elevar suas permissões, em vez de apenas ter acesso negado à unidade?

    
por Kev 21.07.2011 / 15:03

2 respostas

7

Parece que não estou sozinho ao encontrar esse problema. A questão em questão parece ser que os usuários não internos que são Domain Admins não são o xelim completo quando se trata de UAC e parecem ser tratados "especialmente":

Windows Server 2008 R2 and the UAC

UAC and Domain Admins permissions issue on Windows 2008 - Part 1

UAC and Domain Admins Permissions Issue or Pocket Full of Kryptonite - Part 2

O parágrafo principal do último link explica:

Basically, [non-built-in users who are - (added by me)] Domain Admins, unlike ALL OTHER USERS, are given two tokens. They have the full access token (like everyone else) and a second access token referred to as the filtered access token. This filtered access token has the administrative powers removed. Explorer.exe (ie the root of all) is started with the filtered access token, and thus everything is started with it.

Think of it is as RUNAS in reverse. Rather than being a Domain Admin you are reduced to peon status. It is, in effect, kryptonite.

    
por 22.07.2011 / 00:28
9

Eu mesmo notei isso. O que acontece é que o UAC entra em ação porque você está usando sua associação "administradores locais" para obter acesso à unidade, e isso é exatamente o que o UAC monitora.

Para servidores de arquivos, minha prática pessoal é nunca usar o grupo "Administradores" para fornecer permissões para usuários.

Tente isto: Crie um grupo AD chamado "FileServerAdmins" ou qualquer outro, adicione seu usuário (ou grupo administrador de domínio) a ele. Conceda a esse grupo acesso à unidade D com as mesmas permissões que o grupo Administradores existente.

Você deve notar que, mesmo depois de remover a permissão "Everyone", qualquer membro do grupo "FileServerAdmins" ainda deve ter acesso à unidade, sem obter o prompt do UAC.

Eu fiquei um pouco chocado quando descobri isso há algum tempo, é definitivamente uma parte do UAC que poderia usar alguma revisão ...

    
por 21.07.2011 / 15:11

Tags

Como recriar uma AMI funcional a partir do instantâneo de recuperação após a interrupção de 8 de agosto? Quantas regras podem o iptables suportar?