NTFS - os administradores de domínio não têm permissões, apesar de fazerem parte do grupo de administradores locais

8

De acordo com a equipe de "Melhores práticas" de nosso departamento de TI, temos duas contas. Uma conta sem privilégios e uma conta que seja membro do grupo global de administradores de domínio ($ DOMAIN \ Domain Admins). Em nossos servidores de arquivos, o grupo Admins. Do Domínio é adicionado ao grupo local Administradores ($ SERVER \ Administrators). O grupo Administrador local tem Controle total concedido nesses diretórios. Bastante padrão.

No entanto, se eu fizer login no servidor com minha conta de Administrador do Domínio para entrar nesse diretório, preciso aprovar um prompt do UAC que diz: "Você não tem permissão para acessar esta pasta no momento. Clique em Continuar permanentemente tenha acesso a esta pasta. " Clicar em Continuar fornecerá minhas permissões de conta de Administrador de Domínio nessa pasta e qualquer outra coisa abaixo, apesar de $ SERVER \ Administrators (dos quais eu sou membro do grupo Admins. Do Domínio) já estarem totalmente controlados.

Alguém pode explicar esse comportamento e qual é a maneira apropriada de gerenciar permissões NTFS para compartilhamentos de arquivos em relação aos direitos administrativos com o Server 2008 R2 e o UAC?

    
por kce 07.11.2012 / 00:59

4 respostas

11

Certo, o UAC é acionado quando um programa solicita privilégios de administrador. Como o Explorer, solicitando privilégios de administrador, porque é isso que as ACLs NTFS nesses arquivos e pastas exigem.

Você tem quatro opções que eu conheço.

  1. Desative o UAC nos seus servidores.

    • Eu faço isso de qualquer maneira (no caso geral), e diria que, se você precisa de UAC em um servidor, provavelmente está fazendo errado, porque em geral, apenas os administradores devem fazer logon em servidores, e eles devem saber o que eles estão fazendo.

  2. Gerencie as permissões de uma interface elevada

    • Janela cmd elevada, janela PS ou instância do Explorer funcionam para evitar o pop-up do UAC. ( Run As Administrator )

  3. Gerencie as permissões de NTFS remotamente

    • Conecte-se ao UNC em uma máquina que não tenha o UAC ativado.

  4. Crie um grupo não administrativo adicional que tenha acesso total nas ACLs do NTFS a todos os arquivos e pastas que você deseja manipular e atribua seus administradores a ele.

    • O pop-up do UAC não será (não deve) ser acionado, porque o Explorer não precisará mais de privilégios administrativos, pois o acesso aos arquivos é concedido por meio de outro grupo não administrativo.
por 07.11.2012 / 06:07
1

A melhor maneira é alterar a chave do registro em

registry::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system; key = EnableLUA

Verifique se está definido como Valor 0 para desativá-lo. Você precisa reinicializar para que ele tenha efeito. A interface pode mostrá-lo como desativado enquanto o registro está ativado.

    
por 21.02.2013 / 09:43
1

Defina essas políticas para membros do grupo Administrador local para poder alterar arquivos e se conectar a compartilhamentos administrativos:

Uma reinicialização será necessária depois de fazer essas alterações.

    
por 23.05.2016 / 10:42
0

Você também pode desativar o modo de aprovação de administrador para administradores por meio do GPO ou da política de segurança local.

Política de segurança local \ Configurações de segurança \ Políticas locais \ Opções de segurança \ Controle de conta de usuário: execute todos os administradores no modo de aprovação de administrador - Desativado

    
por 17.11.2014 / 20:16