NTFS - Domänenadministratoren haben keine Berechtigungen, obwohl sie Teil der Gruppe "Lokale Administratoren" sind

8

Gemäß den "Best Practices" haben die Mitarbeiter unserer IT-Abteilung zwei Konten. Ein nicht privilegiertes Konto und ein Konto, das Mitglied der globalen Gruppe "Domänenadministratoren" ($ DOMAIN \ Domänenadministratoren) ist. Auf unseren Dateiservern wird die Gruppe "Domänenadministratoren" zur Gruppe "Lokale Administratoren" ($ SERVER \ Administratoren) hinzugefügt. Der lokalen Administratorgruppe wird für diese Verzeichnisse Vollzugriff gewährt. Ziemlich normal.

Wenn ich mich jedoch mit meinem Domänenadministratorkonto beim Server anmelde, um in dieses Verzeichnis zu gelangen, muss ich eine UAC-Eingabeaufforderung genehmigen, die besagt: "Sie haben derzeit keine Berechtigung, auf diesen Ordner zuzugreifen. Klicken Sie auf Weiter, um dauerhaft Zugriff zu erhalten." dieser Ordner. " Wenn Sie auf "Weiter" klicken, erhält mein Domänenadministratorkonto Berechtigungen für diesen Ordner und alles andere darunter, obwohl $ SERVER \ Administrators (bei dem ich über die Gruppe "Domänenadministratoren" Mitglied bin) bereits über die vollständige Kontrolle verfügt.

Kann jemand dieses Verhalten erklären und wie die NTFS-Berechtigungen für Dateifreigaben in Bezug auf Administratorrechte mit Server 2008 R2 und UAC angemessen verwaltet werden können?

active-directory windows-server-2008-r2 permissions ntfs uac
quelle
Verwalten Sie das System entweder remote oder deaktivieren Sie die Benutzerkontensteuerung.
Zoredache
2
Ich bin mit niemandem einverstanden, der empfiehlt, UNC zu deaktivieren. Zugriff auf die Dateien über UNC - Ich glaube, dass dies auch auf dem lokalen Server funktioniert.
Multiverse IT
Ich kann dieses Verhalten in WS2008 + nicht ertragen, muss aber der Empfehlung von @ MultiverseIT zustimmen, die Benutzerkontensteuerung in Ruhe zu lassen.
SturdyErde

Antworten:

11

Richtig, die Benutzerkontensteuerung wird ausgelöst, wenn ein Programm Administratorrechte anfordert. B. Explorer, der Administratorrechte anfordert, da dies für die NTFS-ACLs in diesen Dateien und Ordnern erforderlich ist.

Sie haben vier Möglichkeiten, die mir bekannt sind.

  1. Deaktivieren Sie die Benutzerkontensteuerung auf Ihren Servern.

    • Ich mache das trotzdem (im allgemeinen Fall) und würde argumentieren, dass wenn Sie eine Benutzerkontensteuerung auf einem Server benötigen, Sie es wahrscheinlich falsch machen, da sich im Allgemeinen nur Administratoren bei Servern anmelden sollten und sie wissen sollten, was sie sind tun.

  2. Verwalten Sie die Berechtigungen über eine Schnittstelle mit erhöhten Rechten

    • Erhöhte cmdFenster-, PSFenster- oder Explorer-Instanzen verhindern das UAC-Popup. ( Run As Administrator)

  3. Verwalten Sie die NTFS-Berechtigungen remote

    • Stellen Sie über UNC eine Verbindung von einem Computer her, auf dem die Benutzerkontensteuerung nicht aktiviert ist.

  4. Erstellen Sie eine zusätzliche nicht administrative Gruppe, die in den NTFS-ACLs vollen Zugriff auf alle Dateien und Ordner hat, die Sie bearbeiten möchten, und weisen Sie ihr Ihre Administratoren zu.

    • Das UAC-Popup wird nicht ausgelöst (sollte nicht ausgelöst werden), da für den Explorer keine Administratorrechte mehr erforderlich sind, da der Zugriff auf die Dateien über eine andere, nicht administrative Gruppe gewährt wird.
HopelessN00b
quelle
2
Gute Liste. Ein Hinweis: Wenn Sie die NTFS-Berechtigungen remote verwalten, spielt es keine Rolle, ob die Benutzerkontensteuerung für das System aktiviert ist, von dem aus Sie verwalten. Beim Ändern von ACLs auf einem Remote-Server wird keine Aufforderung angezeigt.
SturdyErde
1
Yay! Option 4 funktioniert gut :)
CrazyTim
Etwas hat mich zu diesem Q / A zurückgebracht und ich muss meinen vorherigen Kommentar überarbeiten. Die Liste ist bis auf Ihren ersten Vorschlag gut. Wenn Sie die Benutzerkontensteuerung auf einem Server deaktivieren müssen, machen Sie es falsch. Wenn Sie Ordner lokal auf einem Server verwalten müssen (erneut falsch) :), können Sie Ihrer Ordnerstruktur einen ACE hinzufügen, der dem Sicherheitsprinzipal "INTERACTIVE" die Berechtigung "Inhalt auflisten" erteilt. Auf diese Weise können Administratoren die Ordnerstruktur ohne UAC-Eingabeaufforderungen durchsuchen.
SturdyErde
Interessanterweise hat Option 4 bei mir nicht funktioniert (Server 2016). Das Gewähren des INTERACTIVE-Sicherheitsprinzips 'Listenordner' und 'Leseberechtigungen' hat jedoch funktioniert. Aber das ist nicht das, was ich gerne benutze.
Brad Bamford
1

Am besten ändern Sie den Registrierungsschlüssel unter

Registrierung :: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System; key = EnableLUA

Stellen Sie sicher, dass der Wert auf 0 gesetzt ist, um ihn zu deaktivieren. Sie müssen neu starten, damit es wirksam wird. Die Benutzeroberfläche zeigt es möglicherweise als deaktiviert an, während die Registrierung aktiviert ist.

Ben
quelle
Durch diese Registrierungsänderung wird die Benutzerkontensteuerung deaktiviert und von den Best Practices von Microsoft wird dringend abgeraten.
Joshua Hanley
1

Legen Sie beide Richtlinien fest, damit Mitglieder der lokalen Administratorgruppe Dateien ändern und eine Verbindung zu Administratorfreigaben herstellen können:

Geben Sie hier die Bildbeschreibung ein

Nach diesen Änderungen ist ein Neustart erforderlich.

Manfred
quelle
Ich bin nicht sicher, ob diese Methode tatsächlich funktioniert, verringert jedoch die Gesamtsicherheit und ist nicht erforderlich, um das Problem zu lösen. Es wurden bereits zwei funktionierende Lösungen bereitgestellt, ohne die Sicherheit zu beeinträchtigen.
SturdyErde
Diese Methode funktioniert. Wie verringert dies die Sicherheit, wo dies bei diesen anderen Methoden nicht der Fall ist? Beide empfehlen, die Benutzerkontensteuerung vollständig zu deaktivieren (obwohl die akzeptierte Antwort einige andere Optionen bietet). Dadurch bleibt die Benutzerkontensteuerung erhalten, Mitglieder der Administratorgruppe können jedoch die für die Benutzerkontensteuerung festgelegten Berechtigungen tatsächlich verwenden. Dies scheint mir die beste Methode zu sein.
Mordred
Diese Methode funktioniert, aber durch Deaktivieren des Administrator-Genehmigungsmodus wird die Benutzerkontensteuerung neutralisiert, indem das Split-Security-Token deaktiviert wird, mit dem Sie sich als Administrator anmelden können, ohne das Windows-Äquivalent zur Anmeldung als Root auszuführen. Wenn AAM deaktiviert ist, werden alle Prozesse, die von einem Administratorkonto ausgeführt werden, mit vollständigen Administratorrechten ausgeführt, anstatt nur diejenigen, für die diese Rechte erforderlich sind und die vom Administrator über die UAC-Eingabeaufforderung genehmigt werden. Es ist ein zentraler Bestandteil der Benutzerkontensteuerung, und Sie sollten es nicht deaktivieren. In der Antwort von @ HopelessN00b finden Sie mehrere überlegene Optionen.
Joshua Hanley
0

Sie können den Administratorgenehmigungsmodus für Administratoren auch über das Gruppenrichtlinienobjekt oder in der lokalen Sicherheitsrichtlinie deaktivieren.

Lokale Sicherheitsrichtlinie \ Sicherheitseinstellungen \ Lokale Richtlinien \ Sicherheitsoptionen \ Benutzerkontensteuerung: Führen Sie alle Administratoren im Administratorgenehmigungsmodus aus - Deaktiviert

Ron
quelle