Я зарегистрирован как администратор домена в Windows Server 2016 (член сервера моей домен). Я создаю второй раздел NTFS (e :) и удаляю доступ к локальной группе пользователей (мне не нужен доступ администратора к e :) без прав администратора.Я создаю папку test в корне e:
test наследует ACL от родителя (e :).
Из Explorer.exe прямо на сервере, когда я пытаюсь войти в тест , я получаю всплывающее окно безопасности. Если я согласен: новый ACE создается с моей учетной записью на test . Я отказался. У меня нет проблем с учетной записью локального администратора .
PS E:\> (Get-Acl e:\).Access
FileSystemRights : ReadAndExecute, Synchronize
AccessControlType : Allow
IdentityReference : Tout le monde
IsInherited : False
InheritanceFlags : None
PropagationFlags : None
FileSystemRights : FullControl
AccessControlType : Allow
IdentityReference : CREATEUR PROPRIETAIRE
IsInherited : False
InheritanceFlags : ContainerInherit, ObjectInherit
PropagationFlags : InheritOnly
FileSystemRights : FullControl
AccessControlType : Allow
IdentityReference : AUTORITE NT\Système
IsInherited : False
InheritanceFlags : ContainerInherit, ObjectInherit
PropagationFlags : None
FileSystemRights : FullControl
AccessControlType : Allow
IdentityReference : BUILTIN\Administrateurs
IsInherited : False
InheritanceFlags : ContainerInherit, ObjectInherit
PropagationFlags : None
PS E:\> (Get-Acl e:\test).Access
FileSystemRights : FullControl
AccessControlType : Allow
IdentityReference : BUILTIN\Administrateurs
IsInherited : True
InheritanceFlags : None
PropagationFlags : None
FileSystemRights : FullControl
AccessControlType : Allow
IdentityReference : CREATEUR PROPRIETAIRE
IsInherited : True
InheritanceFlags : ContainerInherit, ObjectInherit
PropagationFlags : InheritOnly
FileSystemRights : FullControl
AccessControlType : Allow
IdentityReference : AUTORITE NT\Système
IsInherited : True
InheritanceFlags : ContainerInherit, ObjectInherit
PropagationFlags : None
FileSystemRights : FullControl
AccessControlType : Allow
IdentityReference : BUILTIN\Administrateurs
IsInherited : True
InheritanceFlags : ContainerInherit, ObjectInherit
PropagationFlags : InheritOnly
PS E:\> Get-LocalGroupMember administrateurs
ObjectClass Name PrincipalSource
----------- ---- ---------------
Groupe ADM\Admins du domaine ActiveDirectory
Utilisateur FILESERVER\Administrateur Local
PS E:\> Get-ADPrincipalGroupMembership $env:username|? name -eq 'admins du domaine'
distinguishedName : CN=Admins du domaine,CN=Users,DC=adm,DC=sb1
GroupCategory : Security
GroupScope : Global
name : Admins du domaine
objectClass : group
objectGUID : 700378f7-5025-4e24-b293-343ba0f7fcf6
SamAccountName : Admins du domaine
SID : S-1-5-21-2142639626-767165437-316617838-512
Если я не удаляю доступ к локальной группе пользователей в e :, я не получаю запрос на доступ к test , потому что ACE с моим именем создается автоматически.
Вкладка эффективный доступ показывает, что моя учетная запись имеет полный контроль, унаследованный от родительской папки, для локальной группы администраторов .
С другого компьютера в домене, с моей учетной записью администратора домена, я могу получить доступ без всплывающего окна безопасности к \\ fileserver \ e $ \ test (без ACE моего имени).
Вопрос в том, как каждый администратор домена может получить доступ к файлам локально, не создавая индивидуальный ACE для каждой учетной записи администратора домена?
Контроль учетных записей пользователей ограничивает возможность Explorer напрямую использовать членство пользователя в определенных группах, включая локальную группу «Администраторы» и «Администраторы домена». глобальная группа.
Однако это ограничение применяется только к определенным специальным группам, и, в частности, не применяется к группам, которые содержат эти группы. Это означает, что вы можете решить свою проблему, создав глобальную группу в домене с названием, скажем, «Администраторы моего домена» и добавив группу администраторов домена в качестве члена «Администраторы моего домена».
Если вы затем предоставите моим администраторам домена полное разрешение на диск E, все члены группы администраторов домена будут иметь полный доступ к этому диску при локальном входе в систему.