NTFS - администраторы домена не имеют разрешений, несмотря на то, что являются частью группы локальных администраторов

8

Согласно «Best Practices» сотрудники нашего ИТ-отдела имеют две учетные записи. Непривилегированная учетная запись и учетная запись, которая является членом глобальной группы администраторов домена ($ DOMAIN \ Domain Admins). На наших файловых серверах группа «Администраторы домена» добавляется в группу локальных администраторов ($ SERVER \ Administrators). Локальная группа администраторов имеет полный доступ к этим каталогам. Довольно стандартный.

Однако, если я войду на сервер с моей учетной записью администратора домена, чтобы перейти в этот каталог, мне нужно утвердить приглашение UAC, которое говорит: «У вас нет разрешения на доступ к этой папке. Нажмите« Продолжить », чтобы навсегда получить доступ к эта папка. " Нажатие кнопки «Продолжить» дает моей учетной записи администратора домена разрешения на эту папку и все остальное под ней, несмотря на то, что $ SERVER \ Administrators (членом которой я являюсь через группу администраторов домена) уже имеет полный контроль.

Может кто-нибудь объяснить это поведение и как правильно управлять разрешениями NTFS для общих файловых ресурсов в отношении прав администратора с Server 2008 R2 и UAC?

active-directory windows-server-2008-r2 permissions ntfs uac
источник
Либо управляйте системой удаленно, либо отключите UAC.
Зоредаче
2
Я не согласен с тем, кто рекомендует отключать UNC. Доступ к файлам через UNC - я считаю, что это будет работать даже на локальном сервере.
Multiverse IT
Я не могу терпеть такое поведение в WS2008 +, но должен согласиться с рекомендацией @ MultiverseIT оставить UAC в покое.
SturdyErde

Ответы:

11

Да, UAC запускается, когда программа запрашивает привилегии администратора. Например, Explorer, запрашивающий права администратора, потому что это то, что требуется ACFS NTFS для этих файлов и папок.

У меня есть четыре варианта, о которых я знаю.

  1. Отключите UAC на своих серверах.

    • Я делаю это в любом случае (в общем случае) и утверждаю, что если вам нужен UAC на сервере, вы, вероятно, делаете это неправильно, потому что в целом только администраторы должны входить на серверы, и они должны знать, что они делает.

  2. Управление разрешениями от повышенного интерфейса

    • Повышенное cmdокно, PSокно или экземпляр Explorer все работают для предотвращения всплывающего окна UAC. ( Run As Administrator)

  3. Управляйте разрешениями NTFS удаленно

    • Подключитесь через UNC с компьютера, на котором не включен UAC.

  4. Создайте дополнительную неадминистративную группу, которая имеет полный доступ в списках ACL NTFS ко всем файлам и папкам, которыми вы хотите манипулировать, и назначьте ей администраторов.

    • Всплывающее окно UAC не будет (не должно) запускаться, потому что Explorer больше не будет требовать административных привилегий, поскольку доступ к файлам предоставляется через другую, неадминистративную группу.
HopelessN00b
источник
2
Хороший список. Одно замечание: если вы управляете разрешениями NTFS удаленно, не имеет значения, включен ли UAC для системы, с которой вы управляете. Он не будет запрашивать при изменении ACL на удаленном сервере.
SturdyErde
1
Ура! Вариант 4 работает хорошо :)
CrazyTim
Что-то вернуло меня к этому Q / A, и я должен пересмотреть мой предыдущий комментарий. Список хорош, за исключением вашего первого предложения. Если вам нужно отключить UAC на сервере, вы делаете это неправильно. Если вам нужно управлять папками локально на сервере (опять же, делая это неправильно) :), тогда вы можете добавить ACE к структуре папок, которая предоставляет «ИНТЕРАКТИВНОМУ» субъекту безопасности разрешение «Содержимое списка». Это позволит администраторам просматривать структуру папок без запросов UAC.
SturdyErde
Интересно, что вариант 4 не работал для меня (Server 2016). Однако предоставление интерактивного принципа безопасности «Папка списка» и «Разрешения на чтение» сработало. Но это не то, что мне удобно.
Брэд Бэмфорд
1

Лучший способ - изменить ключ реестра в

реестра :: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ система; ключ = EnableLUA

Убедитесь, что для него установлено значение 0, чтобы отключить его. Вам нужно перезагрузить компьютер, чтобы он вступил в силу. Интерфейс может отображать его как отключенный при включенном реестре.

Бен
источник
Внесение этого изменения в реестр приведет к отключению контроля учетных записей пользователей и не рекомендуется в соответствии с рекомендациями Microsoft.
Джошуа Хенли
1

Установите обе эти политики, чтобы члены локальной группы администраторов могли изменять файлы и подключаться к общим ресурсам администратора:

введите описание изображения здесь

После внесения этих изменений потребуется перезагрузка.

Manfred
источник
Не уверен, что этот метод действительно работает, но он снижает общую безопасность и не является необходимым для решения проблемы. Два рабочих решения уже были предоставлены без снижения безопасности.
SturdyErde
Этот метод работает. Как это снижает безопасность, когда другие методы этого не делают? Оба они рекомендуют полностью отключить UAC (хотя принятый ответ предоставляет некоторые другие варианты). Это сохраняет UAC, но позволяет членам группы администраторов фактически использовать разрешения, установленные в UAC. Это, кажется, лучший метод для меня.
Мордред
Этот метод будет работать, но отключение UAC в режиме одобрения администратором путем отключения токена split-security, который позволяет войти в систему как администратор, не делая Windows-эквивалент входа в систему как root. Если AAM отключен, все процессы, выполняемые с учетной записью администратора, будут выполняться с полными правами администратора, а не только с теми, которые требуют эти права и одобрены администратором через приглашение UAC. Это основная часть UAC, и вы не должны его отключать. Смотрите ответ @ HopelessN00b для нескольких превосходных вариантов.
Джошуа Хенли
0

Вы также можете отключить режим одобрения администратора для администраторов через GPO или в локальной политике безопасности.

Локальная политика безопасности \ Параметры безопасности \ Локальные политики \ Параметры безопасности \ Контроль учетных записей пользователей: запускать всех администраторов в режиме одобрения администратором - отключено

Рон
источник