NTFS: los administradores de dominio no tienen permisos a pesar de ser parte del grupo de administradores locales

8

Según las "mejores prácticas", el personal de nuestro departamento de TI tiene dos cuentas. Una cuenta sin privilegios y una cuenta que es miembro del grupo global Administradores de dominio ($ DOMAIN \ Administradores de dominio). En nuestros servidores de archivos, el grupo Administradores de dominio se agrega al grupo de Administradores locales ($ SERVER \ Administrators). El grupo Administrador local tiene Control total otorgado en estos directorios. Bastante estándar

Sin embargo, si inicio sesión en el servidor con mi cuenta de administrador de dominio para descender a ese directorio, necesito aprobar una solicitud de UAC que diga: "Actualmente no tiene permiso para acceder a esta carpeta. Haga clic en continuar para obtener acceso permanente a esta carpeta ". Al hacer clic en continuar, mi cuenta de administrador de dominio tiene permisos en esa carpeta y cualquier otra cosa debajo a pesar de que $ SERVER \ Administrators (del cual soy miembro a través del grupo Admins. Del dominio) ya tiene el control total.

¿Alguien puede explicar este comportamiento y cuál es la forma adecuada de administrar los permisos NTFS para los archivos compartidos con respecto a los derechos administrativos con Server 2008 R2 y UAC?

active-directory windows-server-2008-r2 permissions ntfs uac
fuente
Administre el sistema de forma remota o desactive el UAC.
Zoredache
2
No estoy de acuerdo con nadie que recomiende desactivar UNC. Acceda a los archivos a través de UNC: creo que esto funcionará incluso en el servidor local.
Multiverse IT
No puedo soportar este comportamiento en WS2008 +, pero tengo que estar de acuerdo con la recomendación de @ MultiverseIT de dejar solo a UAC.
SturdyErde

Respuestas:

11

Correcto, UAC se activa cuando un programa solicita privilegios de administrador. Como Explorer, que solicita privilegios de administrador, porque eso es lo que requieren las ACL de NTFS en esos archivos y carpetas.

Tienes cuatro opciones que conozco.

  1. Deshabilite UAC en sus servidores.

    • Hago esto de todos modos (en el caso general), y argumentaría que si necesita UAC en un servidor, probablemente lo esté haciendo mal, porque en general, solo los administradores deben iniciar sesión en los servidores, y deben saber qué son haciendo.

  2. Administre los permisos desde una interfaz elevada

    • La cmdventana elevada , la PSventana o la instancia de Explorer funcionan para evitar la ventana emergente UAC. ( Run As Administrator)

  3. Administre los permisos NTFS de forma remota

    • Conéctese a través de UNC desde una máquina que no tenga UAC activado.

  4. Cree un grupo no administrativo adicional que tenga acceso completo en las ACL de NTFS a todos los archivos y carpetas que desea manipular, y asígnele sus administradores.

    • La ventana emergente de UAC no se activará (no debería), porque Explorer ya no requerirá privilegios administrativos, ya que el acceso a los archivos se otorga a través de otro grupo no administrativo.
HopelessN00b
fuente
2
Buena lista Una nota: si administra los permisos NTFS de forma remota, no importa si UAC está habilitado o no para el sistema desde el que está administrando. No aparecerá cuando se modifiquen las ACL en un servidor remoto.
SturdyErde
1
¡Hurra! La opción 4 funciona bien :)
CrazyTim
Algo me trajo de vuelta a este Q / A y tengo que revisar mi comentario anterior. La lista es buena excepto por su primera sugerencia. Si necesita deshabilitar UAC en un servidor, lo está haciendo mal. Si debe administrar carpetas localmente en un servidor (nuevamente, haciéndolo mal) :) entonces lo que puede hacer es agregar un ACE a la estructura de su carpeta que otorgue al principal de seguridad "INTERACTIVO" el permiso "Lista de contenido". Esto permitirá a los administradores explorar la estructura de carpetas sin avisos de UAC.
SturdyErde
Interesante, la opción 4 no funcionó para mí (Server 2016). Sin embargo, otorgar el principio de seguridad INTERACTIVO 'Lista de carpetas' y 'Permisos de lectura' funcionó. Pero eso no es lo que me siento cómodo usando.
Brad Bamford el
1

La mejor manera es cambiar la clave de registro en

registro :: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ políticas \ sistema; clave = EnableLUA

Asegúrese de que esté configurado en Valor 0 para deshabilitarlo. Debe reiniciar para que surta efecto. La interfaz puede mostrarlo como deshabilitado mientras el registro está habilitado.

Ben
fuente
Realizar este cambio en el registro deshabilitará UAC y es desalentado por las mejores prácticas de Microsoft.
Joshua Hanley
1

Establezca estas dos políticas para que los miembros del grupo de administradores locales puedan cambiar archivos y conectarse a recursos compartidos de administrador:

ingrese la descripción de la imagen aquí

Será necesario reiniciar después de hacer estos cambios.

Manfredo
fuente
No estoy seguro de si este método realmente funciona, pero reduce la seguridad general y no es necesario para resolver el problema. Ya se han proporcionado dos soluciones de trabajo sin reducir la seguridad.
SturdyErde
Este método funciona. ¿Cómo reduce esto la seguridad donde esos otros métodos no lo hacen? Ambos recomiendan deshabilitar UAC por completo (aunque la respuesta aceptada proporciona algunas otras opciones). Esto mantiene el UAC, pero permite a los miembros del grupo de administradores usar los permisos establecidos en el UAC. Este parece ser el mejor método para mí.
Mordred
Este método funcionará, pero deshabilitar el modo de aprobación de administrador neutraliza el UAC al deshabilitar el token de seguridad dividida que le permite a uno iniciar sesión como administrador sin hacer el equivalente de Windows de iniciar sesión como root. Con AAM deshabilitado, todos los procesos ejecutados por una cuenta de administrador se ejecutarán con derechos de administrador completos, en lugar de solo aquellos que requieren esos derechos y que el administrador aprueba a través de la solicitud de UAC. Es una parte central de UAC, y no debe deshabilitarlo. Vea la respuesta de @ HopelessN00b para varias opciones superiores.
Joshua Hanley
0

También puede deshabilitar el modo de aprobación de administrador para administradores a través de GPO o en la Política de seguridad local.

Política de seguridad local \ Configuración de seguridad \ Políticas locales \ Opciones de seguridad \ Control de cuenta de usuario: ejecute a todos los administradores en Modo de aprobación de administrador - Desactivado

Ron
fuente