EVERYONEグループを削除すると、ドメイン管理者がドライブにアクセスできなくなるのはなぜですか?

11

これはこの質問に関連しています:

Domain Adminsグループはd:ドライブへのアクセスを拒否しました

新しいADラボ環境にメンバーサーバーがあります。

  • グループのADMIN01メンバーであるActive DirectoryユーザーがいますDomain Admins

  • Domain Adminsグローバルグループには、メンバーサーバーのローカルのメンバーであるAdministratorsグループ

  • サーバーがドメインのメンバーになったD:追加され新しいドライブのルートで、次のアクセス許可が構成されます。

    全員-特別な権限-このフォルダーのみ
      トラバースフォルダー/実行ファイル
      フォルダーのリスト/データの読み取り
      属性を読み取る
      拡張属性を読み取る

    作成者所有者-特別な権限-サブフォルダーとファイルのみ
      フルコントロール

    SYSTEM-このフォルダー、サブフォルダー、およびファイル
      フルコントロール

    管理者-このフォルダー、サブフォルダー、およびファイル
      フルコントロール

上記のACLの下では、ドメインユーザーADMIN01はログオンしてD:ドライブにアクセスし、フォルダーとファイルを作成できます。

Everyoneこのドライブのルートからアクセス許可を削除すると、Domain Admins(たとえばADMIN01)グループのメンバーである非組み込みユーザーはドライブにアクセスできなくなります。ドメインAdministratorアカウントは問題ありません。

ローカルマシンAdministratorDomain Admin「管理者」アカウントには引き続きドライブへのフルアクセスがありますが、追加された「通常の」ユーザーDomain Adminsはアクセスを拒否されます。

これは、ボリュームを作成Everyoneしてローカルマシンとしてログインしたアクセス許可を削除したAdministratorか、またはDomain Admin「管理者」アカウントとしてログオンして実行したかに関係なく発生します。

前の質問で述べたように、回避策は、「ユーザーアカウント制御:管理者承認モードですべての管理者を実行する」ポリシーを、メンバーサーバーでローカルに、またはドメイン全体のGPO経由で無効にすることです。

のメンバーシップをACL Everyoneから削除すると、D:メンバーシップが付与されている非組み込みユーザーにこの問題が発生するのはなぜDomain Adminsですか?

また、これらのタイプの非組み込みDomain Adminユーザーは、単にドライブへのアクセスを拒否するのではなく、アクセス許可を上げるように促されないのはなぜですか?

windows  windows-server-2008  active-directory 
ケブ
ソース

回答:

10

私はこれに気づきました。何が起こるかというと、「ローカル管理者」メンバーシップを使用してドライブにアクセスしているためにUACが起動し、これはUACが監視するものです。

ファイルサーバーの場合、個人的なベストプラクティスは、「管理者」グループを使用してユーザーにアクセス許可を提供しないことです。

これを試してください:「FileServerAdmins」などのADグループを作成し、ユーザー(またはドメイン管理グループ)を追加します。このグループに、既存の管理者グループと同じ権限でDドライブへのアクセス権を付与します。

「Everyone」権限を削除した後でも、「FileServerAdmins」グループのすべてのメンバーは、UACプロンプトを表示せずにドライブにアクセスできるはずです。

しばらく前にこれを発見したとき、私は少しショックを受けました。それは間違いなく、UACの一部であり、何らかの修正を使用できるものです...

トロンド
ソース
クレイジーなUAC関連の問題(つまり、ほぼ毎日)につまずくほど、開発者の脳のコードリビジョンを実行したいと思うようになります
Massimo
7

この問題に遭遇したのは私だけではないようです。危機にTheしている問題Domain Adminsは、UACに関しては完全なシリングではなく、「特別に」扱われているように見える非組み込みユーザーであるようです。

Windows Server 2008 R2およびUAC

Windows 2008でのUACおよびDomain Adminsのアクセス許可の問題-パート1

UACおよびドメイン管理者のアクセス許可の問題またはKryptoniteでいっぱいのポケット-パート2

最後のリンクの主要な段落で説明します:

基本的に、[他のすべてのユーザーとは異なり、[ビルトインユーザー-(自分が追加)]]ドメイン管理者には2つのトークンが与えられます。これらには(他のすべてのユーザーと同様に)フルアクセストークンと、フィルター処理されたアクセストークンと呼ばれる2番目のアクセストークンがあります。このフィルタリングされたアクセストークンには、管理権限が削除されています。Explorer.exe(つまり、すべてのルート)はフィルター処理されたアクセストークンで開始されるため、すべてが開始されます。

逆にRUNASと考えてください。ドメイン管理者ではなく、peonステータスになります。実際には、クリプトナイトです。

ケブ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.