Esto está relacionado con esta pregunta:
El grupo de administradores de dominio ha denegado el acceso a d: unidad
Tengo un servidor miembro en un nuevo entorno de laboratorio de AD.
Tengo un usuario de Active Directory
ADMIN01
que es miembro delDomain Admins
grupoEl
Domain Admins
grupo global es un miembro delAdministrators
grupo local del servidor miembroLos siguientes permisos se configuran en la raíz de mi nueva
D:
unidad agregada después de que el servidor se convirtió en miembro del dominio:
Todos - Permisos especiales - Solo esta carpeta Recorrer carpeta / ejecutar archivo Listar carpeta / leer datos Leer atributos Leer atributos extendidos PROPIETARIO DEL CREADOR - Permisos especiales - Solo subcarpetas y archivos Control total SISTEMA: esta carpeta, subcarpetas y archivos Control total Administradores: esta carpeta, subcarpetas y archivos Control total
Bajo las ACL anteriores, el usuario del dominio ADMIN01
puede iniciar sesión y acceder a la D:
unidad, crear carpetas y archivos y todo está bien.
Si elimino el Everyone
permiso de la raíz de esta unidad, los usuarios no integrados que son miembros del grupo Domain Admins
(p ADMIN01
. Ej. ) Ya no pueden acceder a la unidad. La Administrator
cuenta de dominio está bien.
La máquina local Administrator
y la cuenta Domain Admin
"Administrador" todavía tienen acceso completo a la unidad, pero a cualquier usuario "normal" al que se le haya agregado Domain Admins
se le niega el acceso.
Esto sucede independientemente de si creé el volumen y eliminé el Everyone
permiso conectado como máquina local Administrator
o si ejecuté esto como la cuenta de Domain Admin
"Administrador".
Como mencioné en mi pregunta anterior, la solución consiste en deshabilitar la política "Control de cuentas de usuario: ejecutar todos los administradores en modo de aprobación de administrador" localmente en el servidor miembro o mediante un GPO de todo el dominio.
¿Por qué eliminar la Everyone
cuenta de D:
la ACL de esta causa causa este problema a los usuarios no integrados a los que se les otorga la membresía Domain Admins
?
Además, ¿por qué a estos tipos de Domain Admin
usuarios no integrados se les pide que eleven sus permisos en lugar de simplemente negarles el acceso a la unidad?
Parece que no estoy solo en este problema. El problema en juego parece ser que los usuarios no integrados que
Domain Admins
no son del todo chelín cuando se trata de UAC y parecen ser tratados "especialmente":El párrafo clave del último enlace explica:
fuente