Dies hängt mit dieser Frage zusammen:
Die Gruppe der Domänenadministratoren hat den Zugriff auf das Laufwerk d: verweigert
Ich habe einen Mitgliedsserver in einer brandneuen AD-Laborumgebung.
Ich habe einen Active Directory-Benutzer,
ADMIN01
der Mitglied derDomain Admins
Gruppe istDie
Domain Admins
globale Gruppe ist Mitglied der lokalenAdministrators
Gruppe des MitgliedsserversDie folgenden Berechtigungen werden im Stammverzeichnis meines neuen
D:
Laufwerks konfiguriert, das hinzugefügt wurde, nachdem der Server Mitglied der Domäne geworden ist:
Jeder - Sonderberechtigungen - Nur dieser Ordner Ordner durchlaufen / Datei ausführen Ordner auflisten / Daten lesen Attribute lesen Lesen Sie erweiterte Attribute CREATOR OWNER - Sonderberechtigungen - Nur Unterordner und Dateien Volle Kontrolle SYSTEM - Dieser Ordner, Unterordner und Dateien Volle Kontrolle Administratoren - Dieser Ordner, Unterordner und Dateien Volle Kontrolle
Unter den oben genannten ACLs kann sich der Domänenbenutzer ADMIN01
anmelden und auf das D:
Laufwerk zugreifen , Ordner und Dateien erstellen und alles ist in Ordnung.
Wenn ich die Everyone
Berechtigung aus dem Stammverzeichnis dieses Laufwerks entferne, können nicht integrierte Benutzer, die Mitglieder der Domain Admins
(z. B. ADMIN01
) Gruppe sind, nicht mehr auf das Laufwerk zugreifen. Das Domain- Administrator
Konto ist in Ordnung.
Der lokale Computer Administrator
und das Domain Admin
Konto "Administrator" haben weiterhin vollen Zugriff auf das Laufwerk, aber jedem "normalen" Benutzer, dem hinzugefügt wurde, Domain Admins
wird der Zugriff verweigert.
Dies geschieht unabhängig davon , ob ich die Lautstärke erstellt und entfernt die Everyone
Erlaubnis als den lokalen Rechner angemeldet Administrator
oder ob ich führe diese auf wie das angemeldete Domain Admin
Konto „Administrator“.
Wie in meiner vorherigen Frage erwähnt, besteht die Problemumgehung darin, die Richtlinie "Benutzerkontensteuerung: Alle Administratoren im Administratorgenehmigungsmodus ausführen" entweder lokal auf dem Mitgliedsserver oder über ein domänenweites Gruppenrichtlinienobjekt zu deaktivieren .
Warum verursacht das Entfernen des Everyone
Kontos aus D:
der ACL dieses Problem für nicht integrierte Benutzer, denen die Mitgliedschaft gewährt wurde Domain Admins
?
Warum werden diese Arten von nicht integrierten Domain Admin
Benutzern nicht aufgefordert, ihre Berechtigungen zu erhöhen, anstatt nur den Zugriff auf das Laufwerk zu verweigern?