web-dev-qa-db-ja.com

EVERYONEグループを削除すると、ドメイン管理者がドライブにアクセスできなくなるのはなぜですか?

これはこの質問に関連しています:

Domain Adminsグループがd:ドライブへのアクセスを拒否しました

新しいADラボ環境にメンバーサーバーがあります。

  • ADMIN01グループのメンバーであるActive DirectoryユーザーDomain Adminsを持っています

  • Domain Adminsグローバルグループは、メンバーサーバーのローカルAdministratorsグループのメンバーです

  • 次のアクセス許可は、追加した新しいD:ドライブのルートに構成されていますafterサーバーはドメインのメンバーになりました:

 
全員-特別な権限-このフォルダーのみ
トラバースフォルダー/実行ファイル
リストフォルダー/データの読み取り
属性の読み取り
拡張属性の読み取り
 
 CREATOR OWNER-特別な権限-サブフォルダーとファイルのみ
フルコントロール
 
 SYSTEM-このフォルダー、サブフォルダーとファイル
フルコントロール
 
管理者-このフォルダ、サブフォルダ、およびファイル
フルコントロール
 

上記のACLの下で、ドメインユーザーADMIN01はログオンしてD:ドライブにアクセスでき、フォルダーとファイルを作成できます。

このドライブのルートからEveryone権限を削除すると、Domain Admins(例:ADMIN01)グループのメンバーである非組み込みユーザーがドライブにアクセスできなくなります。ドメインAdministratorアカウントで問題ありません。

ローカルマシンAdministratorDomain Adminの「管理者」アカウントはドライブへのフルアクセス権を持っていますが、Domain Adminsに追加された「通常の」ユーザーはアクセスを拒否されます。

これは、ボリュームを作成してローカルマシンEveryoneとしてログインしたAdministrator権限を削除したかどうか、またはDomain Admin "Administrator"アカウントとしてログオンして実行したかどうかに関係なく発生します。

前の質問で述べたように、回避策は"ユーザーアカウント制御:すべての管理者を管理者承認モードで実行する"メンバーサーバーでローカルに、またはドメイン全体のGPOを介してポリシーを無効にすることです。

EveryoneアカウントをD:のACLから削除すると、Domain Adminsのメンバーシップが付与されている非組み込みユーザーに対してこの問題が発生するのはなぜですか?

また、これらのタイプの非組み込みDomain Adminユーザーは、ドライブへのアクセスを完全に拒否するのではなく、アクセス許可を上げるように求められないのはなぜですか?

12
Kev

この問題に遭遇したのは私だけではないようです。問題となっている問題は、Domain Admins UACに関しては、完全なシリングではなく、「特別に」扱われるようです。

Windows Server 2008 R2およびUAC

Windows 2008でのUACおよびDomain Adminsの権限の問題-パート1

ACおよびドメイン管理者のアクセス許可の問題またはクリプトナイトのポケット-パート2

最後のリンクからの重要なパラグラフは説明します:

基本的に、[-(私が追加した)の非組み込みユーザー]ドメイン管理者には、他のすべてのユーザーとは異なり、2つのトークンが与えられます。それらには、(他のすべてのユーザーと同様に)フルアクセストークンと、フィルターされたアクセストークンと呼ばれる2番目のアクセストークンがあります。このフィルターされたアクセストークンでは、管理権限が削除されています。 Explorer.exe(つまり、すべてのルート)はフィルターされたアクセストークンで開始されるため、すべてがこのトークンで開始されます。

それを逆のRUNASと考えてください。ドメイン管理者ではなく、ペオンステータスに制限されます。それは、事実上、クリプトナイトです。

8
Kev

私はこれに気づきました。 「ローカル管理者」のメンバーシップを使用してドライブにアクセスするため、UACが起動します。これは、UACが監視しているものです。

ファイルサーバーの場合、私の個人的なベストプラクティスは、 "Administrators"グループを使用してユーザーにアクセス許可を提供しないことです。

これを試してください。「FileServerAdmins」などのADグループを作成し、それにユーザー(またはドメイン管理グループ)を追加します。このグループに、既存のAdministratorsグループと同じ権限でDドライブへのアクセスを許可します。

「Everyone」権限を削除した後でも、「FileServerAdmins」グループのメンバーは、UACプロンプトを取得せずにドライブにアクセスできるはずです。

しばらく前にこれを発見したとき、私は少しショックを受けました。それは間違いなくUACの一部であり、いくつかのリビジョンを使用できます...

10
Trondh