Warum verhindert das Entfernen der Gruppe JEDER, dass Domänenadministratoren auf ein Laufwerk zugreifen?

Dies hängt mit dieser Frage zusammen:

Die Gruppe der Domänenadministratoren hat den Zugriff auf das Laufwerk d: verweigert

Ich habe einen Mitgliedsserver in einer brandneuen AD-Laborumgebung.

• Ich habe einen Active Directory-Benutzer, ADMIN01der Mitglied der Domain AdminsGruppe ist

• Die Domain Adminsglobale Gruppe ist Mitglied der lokalen AdministratorsGruppe des Mitgliedsservers

• Die folgenden Berechtigungen werden im Stammverzeichnis meines neuen D:Laufwerks konfiguriert, das hinzugefügt wurde, nachdem der Server Mitglied der Domäne geworden ist:

    Jeder - Sonderberechtigungen - Nur dieser Ordner
      Ordner durchlaufen / Datei ausführen
      Ordner auflisten / Daten lesen
      Attribute lesen
      Lesen Sie erweiterte Attribute

    CREATOR OWNER - Sonderberechtigungen - Nur Unterordner und Dateien
      Volle Kontrolle

    SYSTEM - Dieser Ordner, Unterordner und Dateien
      Volle Kontrolle

    Administratoren - Dieser Ordner, Unterordner und Dateien
      Volle Kontrolle

Unter den oben genannten ACLs kann sich der Domänenbenutzer ADMIN01anmelden und auf das D:Laufwerk zugreifen , Ordner und Dateien erstellen und alles ist in Ordnung.

Wenn ich die EveryoneBerechtigung aus dem Stammverzeichnis dieses Laufwerks entferne, können nicht integrierte Benutzer, die Mitglieder der Domain Admins(z. B. ADMIN01) Gruppe sind, nicht mehr auf das Laufwerk zugreifen. Das Domain- AdministratorKonto ist in Ordnung.

Der lokale Computer Administratorund das Domain AdminKonto "Administrator" haben weiterhin vollen Zugriff auf das Laufwerk, aber jedem "normalen" Benutzer, dem hinzugefügt wurde, Domain Adminswird der Zugriff verweigert.

Dies geschieht unabhängig davon , ob ich die Lautstärke erstellt und entfernt die EveryoneErlaubnis als den lokalen Rechner angemeldet Administratoroder ob ich führe diese auf wie das angemeldete Domain AdminKonto „Administrator“.

Wie in meiner vorherigen Frage erwähnt, besteht die Problemumgehung darin, die Richtlinie "Benutzerkontensteuerung: Alle Administratoren im Administratorgenehmigungsmodus ausführen" entweder lokal auf dem Mitgliedsserver oder über ein domänenweites Gruppenrichtlinienobjekt zu deaktivieren .

Warum verursacht das Entfernen des EveryoneKontos aus D:der ACL dieses Problem für nicht integrierte Benutzer, denen die Mitgliedschaft gewährt wurde Domain Admins?

Warum werden diese Arten von nicht integrierten Domain AdminBenutzern nicht aufgefordert, ihre Berechtigungen zu erhöhen, anstatt nur den Zugriff auf das Laufwerk zu verweigern?

Ich habe das selbst bemerkt. Was passiert, ist, dass die Benutzerkontensteuerung aktiviert wird, weil Sie Ihre Mitgliedschaft als "lokale Administratoren" verwenden, um Zugriff auf das Laufwerk zu erhalten, und genau dafür überwacht die Benutzerkontensteuerung.

Bei Dateiservern ist es meine persönliche Best Practice, niemals die Gruppe "Administratoren" zu verwenden, um Berechtigungen für Benutzer bereitzustellen.

Versuchen Sie Folgendes: Erstellen Sie eine AD-Gruppe mit dem Namen "FileServerAdmins" oder was auch immer, und fügen Sie Ihren Benutzer (oder Ihre Domänenadministratorgruppe) hinzu. Gewähren Sie dieser Gruppe Zugriff auf das D-Laufwerk mit denselben Berechtigungen wie die vorhandene Administratorgruppe.

Sie sollten beachten, dass auch nach dem Entfernen der Berechtigung "Jeder" alle Mitglieder der Gruppe "FileServerAdmins" weiterhin Zugriff auf das Laufwerk haben sollten, ohne die UAC-Eingabeaufforderung zu erhalten.

Ich war selbst ein bisschen schockiert, als ich dies vor einiger Zeit entdeckte. Es ist definitiv ein Teil der Benutzerkontensteuerung, der eine Überarbeitung gebrauchen könnte ...

Es scheint, dass ich mit diesem Problem nicht allein bin. Das Problem scheint zu sein, dass nicht eingebaute Benutzer, die in Bezug auf die Benutzerkontensteuerung Domain Adminsnicht ganz auf dem neuesten Stand sind und "speziell" behandelt zu werden scheinen:

Windows Server 2008 R2 und die Benutzerkontensteuerung

Problem mit Berechtigungen für Benutzerkontensteuerung und Domänenadministratoren unter Windows 2008 - Teil 1

UAC- und Domain-Administrator-Berechtigungsausgabe oder Tasche voller Kryptonit - Teil 2

Der Hauptabsatz des letzten Links erklärt:

Grundsätzlich erhalten [nicht integrierte Benutzer, die - (von mir hinzugefügt)] Domain-Administratoren im Gegensatz zu ALLEN ANDEREN BENUTZERN zwei Token erhalten. Sie haben das Vollzugriffstoken (wie alle anderen auch) und ein zweites Zugriffstoken, das als gefiltertes Zugriffstoken bezeichnet wird. Bei diesem gefilterten Zugriffstoken wurden die Verwaltungsbefugnisse entfernt. Explorer.exe (dh die Wurzel von allem) wird mit dem gefilterten Zugriffstoken gestartet, und somit wird alles damit gestartet.

Betrachten Sie es als RUNAS in umgekehrter Richtung. Anstatt ein Domain-Administrator zu sein, werden Sie auf den Peon-Status reduziert. Es ist praktisch Kryptonit.