ฉันมีการCORP-ADติดตั้งActive Directory ( ) ใหม่ล่าสุดที่ทำงานบน Windows 2008R2 ฉันมีตัวควบคุมโดเมน ( PDC01) และเซิร์ฟเวอร์สมาชิก ( ME01)

เซิร์ฟเวอร์สมาชิกมี a C:และD:ไดรฟ์

ส่วนหนึ่งของบิลด์มาตรฐานของเราคือการลบการอนุญาตทั้งหมดออกจากรูทของD:ไดรฟ์ ยกเว้น:

SYSTEM         (Full Control)
Administrators (Full Control)

ฉันสร้างผู้ใช้โดเมนใหม่ADMIN01และให้สิทธิ์การเป็นสมาชิกของDomain Adminsกลุ่ม

Domain Adminsเป็นสมาชิกของAdministratorsกลุ่มโลคัลของเซิร์ฟเวอร์สมาชิกของสมาชิก

เมื่อฉันเข้าสู่ระบบ (ผ่าน RDP) ไปยังเซิร์ฟเวอร์สมาชิกME01ในฐานะผู้ใช้โดเมน ผู้ใช้รายADMIN01นี้ไม่สามารถเข้าถึงD:ไดรฟ์ได้ จากนั้นฉันก็ลองเพิ่มDomain Adminsกลุ่มที่มีการควบคุมเต็มรูปแบบไปที่รูทของD:ไดรฟ์ แต่ADMIN01ผู้ใช้ของฉันยังไม่สามารถเข้าถึงD:ไดรฟ์ได้:

ใส่คำอธิบายภาพที่นี่

ถ้าฉันเข้าสู่ระบบในME01ฐานะผู้ดูแลระบบเครื่องในเครื่อง ฉันจะไม่มีปัญหาในการเข้าถึงD:ไดรฟ์เลย

ฉันพบคำถามนี้ซึ่งอธิบายปัญหาเดียวกันไม่มากก็น้อย:

Why can't I browse my D: drive, even if I'm in the Administrators group?

คำตอบแสดงให้เห็นอย่างถูกต้องว่านี่เป็นปัญหาการยกระดับสิทธิ์ UAC แต่ฉันงงกับข้อความนี้ โดยเฉพาะส่วนที่เป็นตัวหนา:

You can modify this behaviour by Group Policy however bear in mind that the default is set that way intentionally - the specific policy you want to change is "User Account Control: Run all administrators in Admin Approval Mode" - you can find details on how to do this in this MSDN article.

นี่เป็นการแนะนำว่าไม่ควรปิดใช้งาน"การควบคุมบัญชีผู้ใช้: เรียกใช้ผู้ดูแลระบบทั้งหมดในโหมดการอนุมัติของผู้ดูแลระบบ"หรือไม่

หากเปิดใช้งาน ฉันไม่ได้รับความท้าทาย UAC ด้วยปุ่ม "ดำเนินการต่อ" + ไอคอนรูปโล่ ฉันแค่ปฏิเสธการเข้าถึงไดรฟ์ธรรมดา เป็นเรื่องปกติหรือไม่?

answer

เหตุผลแม้ว่าฉันจะไม่เข้าใจว่าทำไม ดูเหมือนว่าจะเกิดจากการลบEveryoneกลุ่มในตัวออกจากD:สิทธิ์ของไดรฟ์

ฉันได้ติดตามสิ่งนี้ด้วยคำถามใหม่:

Why does removing the EVERYONE group prevent domain admins from accessing a drive?

ดูเหมือนว่าจะไม่ใช่ปัญหา UAC แต่มีบางคนยุ่งกับการอนุญาตในระดับไดรฟ์

ฉันจะเข้าสู่ระบบในฐานะผู้ดูแลระบบในพื้นที่ จากนั้นเปรียบเทียบการอนุญาตที่ตั้งค่าไว้บนทั้งไดรฟ์ C: และ D: ฉันจะเดิมพันว่าผู้ดูแลระบบโดเมนจะลบออกหรือถูกปฏิเสธอย่างชัดเจน

ดูเหมือนว่ามีคนให้สิทธิ์ผู้ดูแลระบบไม่ใช่ผู้ดูแลระบบเต็มรูปแบบ

คุณออกจากระบบโดยสมบูรณ์ในฐานะผู้ใช้ ADMIN01 หลังจากที่คุณทำการเปลี่ยนแปลงการเป็นสมาชิกกลุ่มและเพิ่มผู้ใช้ในกลุ่ม Domain Admins แล้วใช่หรือไม่

คุณพูดถึงเดสก์ท็อประยะไกลบ่อยมาก บางทีเซสชันสำหรับผู้ใช้เพิ่งถูกตัดการเชื่อมต่อ และการเปลี่ยนแปลงการเป็นสมาชิกกลุ่มจะไม่มีผลจนกว่าผู้ใช้จะออกจากระบบและล็อกออนอีกครั้ง (สำหรับ Windows ยังเป็นไปได้ที่จะเปิดเซสชันสองเซสชันที่ ในเวลาเดียวกัน).

ผู้ใช้ ADMIN01 มีสิทธิ์เข้าถึงเครื่องมือการดูแลระบบอื่นๆ ที่ปกติเฉพาะผู้ดูแลระบบโดเมนเท่านั้นที่เข้าถึงได้หรือไม่ ที่จะแยกแยะว่าเป็นปัญหา ACL บนไดรฟ์หรือปัญหาการเป็นสมาชิกกลุ่ม/การอนุญาต