Этот сценарий возник при изменении членства в доменной группе, которая предоставляет членство в BUILTIN\Administrators
. В частности, членство в группе для администратора не обновлялось на рабочей станции, пока администратор не вошел в систему как обычный пользователь. Вот сценарий, который вызвал этот вопрос:
Запуск установки:
- Доменная группа
WSAdminGroup1
с членом
admin1
- Workstation
ws1
:
WSAdminGroup1
является членомBUILTIN\Administrators
user1
является членомBUILTIN\Users
- когда
user1
сталкивается с запросом UAC,admin1
может разрешить повышениеИзменения:
- Добавить доменную группу
WSAdminGroup2
с членом
admin2
- Add
WSAdminGroup2
toBUILTIN\Administrators
Result:
- когда
пользователь1
сталкивается с приглашением UAC,admin2
не может авторизовать повышение
Итак, у нас есть администратор admin2
, который должен иметь членство в BUILTIN\Administrators
на рабочей станции ws1
посредством членства в доменной группе WSAdminGroup2
, но не может авторизовать приглашения UAC на ws1
.
Никакое количество ожиданий, перезагрузок или выходов user1
не помогло admin2
получить доступ администратора на рабочей станции. Оказалось, что вход на рабочий стол рабочей станции под именем admin2
в конечном итоге привел к тому, что admin2
получил доступ администратора.
Это говорит о том, что маркер доступа администратора admin2
не был обновлен на рабочей станции ws1
, пока admin2
не вошел на рабочий стол. Но я пока не нашел документации, которая согласна с этим выводом.
В любом случае, я хотел бы разобраться в следующих вопросах:
admin2
, когда разыгрался этот сценарий?Вы можете рассмотреть возможность использования возможности Защищенных пользователей Windows (как обсуждалось в этом ответе ), чтобы вообще предотвратить кеширование учетных данных администратора. Это также помогает снизить риски бокового смещения.