Grupo de administradores do domínio com acesso negado à unidade d:

5

Eu tenho uma nova instalação do Active Directory ( CORP-AD ) em execução no Windows 2008R2. Eu tenho um controlador de domínio ( PDC01 ) e um servidor membro ( ME01 ).

O servidor membro tem uma unidade C: e uma D: .

Parte da nossa versão padrão é remover todas as permissões da raiz da unidade D: , exceto:

SYSTEM         (Full Control)
Administrators (Full Control)

Eu criei um novo usuário de domínio ADMIN01 e concedeu a ele a associação ao grupo Domain Admins .

Domain Admins é membro do grupo Administrators local do servidor membro.

Quando faço logon (via RDP) no servidor membro ME01 como o usuário do domínio ADMIN01 , esse usuário não pode acessar a unidade D: . Em seguida, tentei adicionar o grupo Domain Admins com controle total à raiz da unidade D: , mas meu usuário ADMIN01 ainda não pode acessar a unidade D: :

SeeufizerlogonnoME01comoadministradordemáquinalocal,nãotenhoproblemasparaacessaraunidadeD:.

Eudescobriessaquestãoquedescrevemaisoumenosomesmoproblema:

Why can't I browse my D: drive, even if I'm in the Administrators group?

A resposta sugere corretamente que esse é um problema de elevação de privilégio do UAC, mas estou intrigado com essa afirmação, em particular a parte em negrito:

You can modify this behaviour by Group Policy however bear in mind that the default is set that way intentionally - the specific policy you want to change is "User Account Control: Run all administrators in Admin Approval Mode" - you can find details on how to do this in this MSDN article.

Isso sugere que "Controle de conta de usuário: executar todos os administradores no modo de aprovação de administrador" não deve ser desativado?

Se estiver ativado, não recebo um desafio UAC com o botão "Continuar" + ícone de escudo, estou simplesmente recusando o acesso à unidade. Isso é normal?

    
por Kev 21.07.2011 / 01:54

5 respostas

4

O motivo, embora eu não entenda o motivo, parece ter sido causado pela remoção do grupo Everyone interno das permissões de unidade D: .

Eu segui isso com uma nova pergunta:

Why does removing the EVERYONE group prevent domain admins from accessing a drive?

    
por 21.07.2011 / 15:09
0

Parece que na verdade não é um problema do UAC, mas alguém mexeu nas permissões no nível da unidade.

Gostaria de fazer login como administrador local e comparar as permissões definidas nas unidades C: e D:, aposto que os administradores de domínio foram removidos ou foram explicitamente negados.

    
por 21.07.2011 / 02:02
0

Parece que alguém concedeu administrador controle total aos administradores.

    
por 21.07.2011 / 02:11
0

Você realmente fez logoff como usuário ADMIN01 depois de fazer as alterações na associação do grupo e adicionou o usuário ao grupo Admins. do domínio?

Você mencionou muito a área de trabalho remota, talvez a sessão para o usuário tenha sido desconectada e as alterações de associação de grupo não entrem em vigor até que o usuário efetue logoff e faça logon novamente (com o Windows também é possível ter duas sessões aberto ao mesmo tempo).

O usuário ADMIN01 tem acesso a outras ferramentas administrativas que somente os administradores de domínio normalmente têm acesso? Isso excluiria se é um problema de ACL na unidade ou um problema de associação / permissão de grupo.

    
por 21.07.2011 / 04:32
0

Em uma apresentação do TechEd deste ano, alguém da Microsoft sugeriu que, se seus administradores souberem o que estão fazendo, você poderá desabilitar o UAC nos servidores.

    
por 21.07.2011 / 14:41