NTFS - administradores de domínio não têm permissões, apesar de fazer parte do grupo Administradores Locais

8

De acordo com as "Melhores práticas", a equipe de nosso departamento de TI tem duas contas. Uma conta sem privilégios e uma conta que seja membro do grupo global Admins. Do Domínio ($ DOMAIN \ Domain Admins). Em nossos servidores de arquivos, o grupo Administradores de Domínio é adicionado ao grupo Administradores local ($ SERVER \ Administrators). O grupo local Administrador tem Controle Total concedido nesses diretórios. Bastante padrão.

No entanto, se eu fizer login no servidor com minha conta de administrador de domínio para descer para esse diretório, preciso aprovar um prompt do UAC que diz: "No momento, você não tem permissão para acessar esta pasta. Clique em continuar para obter acesso permanente a esta pasta ". Clicar em continuar concede à minha conta de Administrador de Domínio permissões nessa pasta e qualquer outra coisa abaixo, apesar de $ SERVER \ Administrators (dos quais sou membro através do grupo Administradores de Domínio) já ter o Controle Total.

Alguém pode explicar esse comportamento e qual a maneira apropriada de gerenciar permissões NTFS para compartilhamentos de arquivos em relação a direitos administrativos com o Server 2008 R2 e o UAC?

active-directory windows-server-2008-r2 permissions ntfs uac
fonte
Gerencie o sistema remotamente ou desative o UAC.
Zoredache
2
Discordo de quem recomenda desabilitar o UNC. Acesse os arquivos via UNC - acredito que isso funcionará mesmo no servidor local.
Multiverse IT
Não suporto esse comportamento no WS2008 +, mas tenho que concordar com a recomendação do @ MultiverseIT de deixar o UAC em paz.
precisa saber é o seguinte

Respostas:

11

Certo, o UAC é acionado quando um programa solicita privilégios de administrador. Como o Explorer, solicitando privilégios de administrador, porque é isso que as ACLs do NTFS nesses arquivos e pastas exigem.

Você tem quatro opções que eu conheço.

  1. Desative o UAC em seus servidores.

    • Eu faço isso de qualquer maneira (no caso geral) e argumentaria que, se você precisar de UAC em um servidor, provavelmente está fazendo algo errado, porque, em geral, apenas os administradores devem fazer logon nos servidores e devem saber o que são. fazendo.

  2. Gerenciar as permissões de uma interface elevada

    • cmdJanela elevada , PSjanela ou instância do Explorer, todos funcionam para evitar o pop-up do UAC. ( Run As Administrator)

  3. Gerenciar as permissões NTFS remotamente

    • Conecte-se através do UNC a partir de uma máquina que não tenha o UAC ativado.

  4. Crie um grupo não administrativo adicional que tenha acesso total nas ACLs do NTFS a todos os arquivos e pastas que você deseja manipular e atribua seus administradores a ele.

    • O pop-up do UAC não será (não deve) ser acionado, porque o Explorer não precisará mais de privilégios administrativos, pois o acesso aos arquivos é concedido por meio de outro grupo não administrativo.
HopelessN00b
fonte
2
Boa lista. Uma observação: se você gerenciar as permissões NTFS remotamente, não importa se o UAC está ou não ativado para o sistema do qual você está gerenciando. Não será solicitado ao modificar as ACLs em um servidor remoto.
precisa saber é o seguinte
1
Yay! A opção 4 funciona bem :)
CrazyTim 14/01
Algo me trouxe de volta a esta Q / A e eu tenho que revisar meu comentário anterior. A lista é boa, exceto pela sua primeira sugestão. Se você precisar desativar o UAC em um servidor, estará fazendo algo errado. Se você deve gerenciar pastas localmente em um servidor (novamente, fazendo errado) :), o que você pode fazer é adicionar um ACE à sua estrutura de pastas que conceda à segurança "INTERACTIVE" a permissão "List contents". Isso permitirá que os administradores procurem na estrutura de pastas sem solicitações do UAC.
26818 SturdyErde
Interessante, a opção 4 não funcionou para mim (Server 2016). No entanto, conceder o princípio de segurança INTERATIVO 'Pasta de lista' e 'Permissões de leitura' funcionou. Mas não é isso que me sinto confortável em usar.
Brad Bamford
1

A melhor maneira é alterar a chave do registro em

registro :: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ policy \ system; key = EnableLUA

Verifique se ele está definido como Valor 0 para desativá-lo. Você precisa reiniciar para que ele entre em vigor. A interface pode mostrá-lo como desativado enquanto o registro está ativado.

Ben
fonte
Fazer essa alteração no registro desativará o UAC e é altamente desencorajado pelas práticas recomendadas da Microsoft.
Joshua Hanley
1

Defina essas duas políticas para que os membros do grupo Administrador local possam alterar arquivos e conectar-se aos compartilhamentos de administrador:

insira a descrição da imagem aqui

Uma reinicialização será necessária depois de fazer essas alterações.

Manfred
fonte
Não tenho certeza se esse método realmente funciona, mas reduz a segurança geral e não é necessário para resolver o problema. Duas soluções de trabalho já foram fornecidas sem reduzir a segurança.
SturdyErde 23/05
Este método funciona. Como isso reduz a segurança onde outros métodos não o fazem? Ambos recomendam desativar completamente o UAC (embora a resposta aceita forneça outras opções). Isso mantém o UAC, mas permite que os membros do grupo Admin realmente usem as permissões definidas no UAC. Este parece ser o melhor método para mim.
Mordred
Esse método funcionará, mas desabilitar o Modo de Aprovação de Administrador neutraliza o UAC, desabilitando o token de segurança dividido, que permite efetuar login como administrador sem fazer o equivalente ao Windows de efetuar login como raiz. Com o AAM desativado, todos os processos executados pela conta de um administrador serão executados com direitos administrativos totais, em vez de apenas aqueles que exigem esses direitos e são aprovados pelo administrador por meio do prompt do UAC. É uma parte essencial do UAC e você não deve desativá-lo. Veja a resposta do @ HopelessN00b para várias opções superiores.
Joshua Hanley
0

Você também pode desabilitar o modo Aprovação de administrador para administradores via GPO ou na Diretiva de segurança local.

Diretiva de Segurança Local \ Configurações de Segurança \ Diretivas Locais \ Opções de Segurança \ Controle de Conta de Usuário: Execute todos os administradores no Modo de Aprovação de Administrador - Desativado

Ron
fonte