¿Por qué eliminar el grupo TODOS impide que los administradores de dominio accedan a una unidad?

12

Esto está relacionado con esta pregunta:

El grupo de administradores de dominio ha denegado el acceso a d: unidad

Tengo un servidor miembro en un nuevo entorno de laboratorio de AD.

  • Tengo un usuario de Active Directory ADMIN01que es miembro del Domain Adminsgrupo

  • El Domain Adminsgrupo global es un miembro del Administratorsgrupo local del servidor miembro

  • Los siguientes permisos se configuran en la raíz de mi nueva D:unidad agregada después de que el servidor se convirtió en miembro del dominio:

    Todos - Permisos especiales - Solo esta carpeta
      Recorrer carpeta / ejecutar archivo
      Listar carpeta / leer datos
      Leer atributos
      Leer atributos extendidos

    PROPIETARIO DEL CREADOR - Permisos especiales - Solo subcarpetas y archivos
      Control total

    SISTEMA: esta carpeta, subcarpetas y archivos
      Control total

    Administradores: esta carpeta, subcarpetas y archivos
      Control total

Bajo las ACL anteriores, el usuario del dominio ADMIN01puede iniciar sesión y acceder a la D:unidad, crear carpetas y archivos y todo está bien.

Si elimino el Everyonepermiso de la raíz de esta unidad, los usuarios no integrados que son miembros del grupo Domain Admins(p ADMIN01. Ej. ) Ya no pueden acceder a la unidad. La Administratorcuenta de dominio está bien.

La máquina local Administratory la cuenta Domain Admin"Administrador" todavía tienen acceso completo a la unidad, pero a cualquier usuario "normal" al que se le haya agregado Domain Adminsse le niega el acceso.

Esto sucede independientemente de si creé el volumen y eliminé el Everyonepermiso conectado como máquina local Administratoro si ejecuté esto como la cuenta de Domain Admin"Administrador".

Como mencioné en mi pregunta anterior, la solución consiste en deshabilitar la política "Control de cuentas de usuario: ejecutar todos los administradores en modo de aprobación de administrador" localmente en el servidor miembro o mediante un GPO de todo el dominio.

¿Por qué eliminar la Everyonecuenta de D:la ACL de esta causa causa este problema a los usuarios no integrados a los que se les otorga la membresía Domain Admins?

Además, ¿por qué a estos tipos de Domain Adminusuarios no integrados se les pide que eleven sus permisos en lugar de simplemente negarles el acceso a la unidad?

Kev
fuente

Respuestas:

10

Lo he notado yo mismo. Lo que sucede es que UAC se activa porque está utilizando su membresía de "administradores locales" para obtener acceso a la unidad, y esto es exactamente lo que monitorea UAC.

Para los servidores de archivos, mi mejor práctica personal es nunca usar el grupo "Administradores" para proporcionar permisos a los usuarios.

Pruebe esto: cree un grupo de AD llamado "FileServerAdmins" o lo que sea, agregue su usuario (o grupo de administración de dominio). Otorgue a este grupo acceso a la unidad D con los mismos permisos que el grupo de administradores existente.

Debería notar que incluso después de eliminar el permiso "Todos", los miembros del grupo "FileServerAdmins" aún deberían tener acceso a la unidad, sin recibir el aviso de UAC.

Me sorprendió un poco cuando descubrí esto hace un tiempo, definitivamente es una parte de UAC que podría necesitar alguna revisión ...

Trondh
fuente
Cuanto más me tropiezo con problemas locos relacionados con UAC (es decir, casi a diario), más quiero realizar una revisión de código en los cerebros de sus desarrolladores ...
Massimo
8

Parece que no estoy solo en este problema. El problema en juego parece ser que los usuarios no integrados que Domain Adminsno son del todo chelín cuando se trata de UAC y parecen ser tratados "especialmente":

Windows Server 2008 R2 y el UAC

Problema de permisos de administradores de dominio y UAC en Windows 2008 - Parte 1

Problema de permisos de administradores de dominio y UAC o bolsillo lleno de criptonita - Parte 2

El párrafo clave del último enlace explica:

Básicamente, [los usuarios no integrados que son - (agregado por mí)] Administradores de dominio, a diferencia de TODOS LOS OTROS USUARIOS, reciben dos tokens. Tienen el token de acceso completo (como todos los demás) y un segundo token de acceso denominado token de acceso filtrado. Este token de acceso filtrado tiene los poderes administrativos eliminados. Explorer.exe (es decir, la raíz de todo) se inicia con el token de acceso filtrado y, por lo tanto, todo se inicia con él.

Piense en ello como RUNAS a la inversa. En lugar de ser un administrador de dominio, se reduce al estado de peón. Es, en efecto, kriptonita.

Kev
fuente