Jest to związane z tym pytaniem:
Mam serwer członkowski w zupełnie nowym środowisku AD Lab.
Mam użytkownika usługi Active Directory,
ADMIN01
który jest członkiemDomain Admins
grupyGrupa
Domain Admins
globalna jest członkiem lokalnejAdministrators
grupy serwera członkowskiegoNastępujące uprawnienia są skonfigurowane w katalogu głównym mojego nowego
D:
dysku dodanego po tym, jak serwer stał się członkiem domeny:
Wszyscy - uprawnienia specjalne - tylko ten folder Przejdź do folderu / pliku wykonawczego Lista folderów / odczytanych danych Czytaj atrybuty Przeczytaj rozszerzone atrybuty WŁAŚCICIEL TWÓRCY - uprawnienia specjalne - tylko podfoldery i pliki Pełna kontrola SYSTEM - ten folder, podfoldery i pliki Pełna kontrola Administratorzy - ten folder, podfoldery i pliki Pełna kontrola
Zgodnie z powyższymi listami ACL użytkownik domeny ADMIN01
może zalogować się i uzyskać dostęp do D:
dysku, tworzyć foldery i pliki i wszystko jest w porządku.
Jeśli usunę Everyone
uprawnienia z katalogu głównego tego dysku, nie wbudowani użytkownicy, którzy są członkami Domain Admins
(np. ADMIN01
) Grupy, nie będą już mieć dostępu do dysku. Administrator
Konto domeny jest w porządku.
Komputer lokalny Administrator
i Domain Admin
konto „Administrator” nadal mają pełny dostęp do dysku, ale każdemu „zwykłemu” użytkownikowi, który został dodany, Domain Admins
odmawia się dostępu.
Dzieje się tak niezależnie od tego, czy utworzyłem wolumin i usunąłem Everyone
uprawnienie zalogowane jako komputer lokalny, Administrator
czy też wykonuję to zalogowanie jako Domain Admin
konto „Administrator”.
Jak wspomniano w moim poprzednim pytaniu, obejście polega na wyłączeniu zasady „Kontrola konta użytkownika: Uruchom wszystkich administratorów w trybie zatwierdzania przez administratora” lokalnie na serwerze członkowskim lub za pośrednictwem obiektu zasad grupy w całej domenie.
Dlaczego usunięcie Everyone
konta z listy D:
ACL powoduje ten problem dla użytkowników niewbudowanych, którym przyznano członkostwo Domain Admins
?
Również dlaczego tego rodzaju użytkownicy nie są wbudowani w Domain Admin
monit o podniesienie swoich uprawnień, a nie po prostu odmawiają dostępu do dysku?