ฉันเข้าสู่ระบบในฐานะผู้ดูแลโดเมนใน Windows Server 2016 (สมาชิกเซิร์ฟเวอร์ของโดเมนของฉัน) ฉันสร้างพาร์ติชัน NTFS ที่สอง (e:) และลบการเข้าถึงกลุ่มผู้ใช้ในพื้นที่(ฉันไม่ต้องการให้ผู้ดูแลระบบที่ไม่ใช่โดเมนเข้าถึง e:) ฉันสร้างการทดสอบโฟลเดอร์ที่รูทของ e:

ทดสอบสืบทอด ACL จากพาเรนต์ (e:)

จาก Explorer.exe บนเซิร์ฟเวอร์โดยตรง เมื่อฉันพยายามเข้าสู่การทดสอบฉันได้รับป๊อปอัปความปลอดภัย ถ้าฉันยอมรับ: เอซใหม่จะถูกสร้างด้วยบัญชีของฉันในการทดสอบ ฉันทิ้ง. ฉันไม่มีปัญหากับบัญชีผู้ดูแลระบบในพื้นที่

PS E:\> (Get-Acl e:\).Access


FileSystemRights  : ReadAndExecute, Synchronize
AccessControlType : Allow
IdentityReference : Tout le monde
IsInherited       : False
InheritanceFlags  : None
PropagationFlags  : None

FileSystemRights  : FullControl
AccessControlType : Allow
IdentityReference : CREATEUR PROPRIETAIRE
IsInherited       : False
InheritanceFlags  : ContainerInherit, ObjectInherit
PropagationFlags  : InheritOnly

FileSystemRights  : FullControl
AccessControlType : Allow
IdentityReference : AUTORITE NT\Système
IsInherited       : False
InheritanceFlags  : ContainerInherit, ObjectInherit
PropagationFlags  : None

FileSystemRights  : FullControl
AccessControlType : Allow
IdentityReference : BUILTIN\Administrateurs
IsInherited       : False
InheritanceFlags  : ContainerInherit, ObjectInherit
PropagationFlags  : None
PS E:\> (Get-Acl e:\test).Access


FileSystemRights  : FullControl
AccessControlType : Allow
IdentityReference : BUILTIN\Administrateurs
IsInherited       : True
InheritanceFlags  : None
PropagationFlags  : None

FileSystemRights  : FullControl
AccessControlType : Allow
IdentityReference : CREATEUR PROPRIETAIRE
IsInherited       : True
InheritanceFlags  : ContainerInherit, ObjectInherit
PropagationFlags  : InheritOnly

FileSystemRights  : FullControl
AccessControlType : Allow
IdentityReference : AUTORITE NT\Système
IsInherited       : True
InheritanceFlags  : ContainerInherit, ObjectInherit
PropagationFlags  : None

FileSystemRights  : FullControl
AccessControlType : Allow
IdentityReference : BUILTIN\Administrateurs
IsInherited       : True
InheritanceFlags  : ContainerInherit, ObjectInherit
PropagationFlags  : InheritOnly
PS E:\> Get-LocalGroupMember administrateurs

ObjectClass Name                           PrincipalSource
----------- ----                           ---------------
Groupe      ADM\Admins du domaine          ActiveDirectory
Utilisateur FILESERVER\Administrateur      Local
PS E:\> Get-ADPrincipalGroupMembership $env:username|? name -eq 'admins du domaine'

distinguishedName : CN=Admins du domaine,CN=Users,DC=adm,DC=sb1
GroupCategory     : Security
GroupScope        : Global
name              : Admins du domaine
objectClass       : group
objectGUID        : 700378f7-5025-4e24-b293-343ba0f7fcf6
SamAccountName    : Admins du domaine
SID               : S-1-5-21-2142639626-767165437-316617838-512

หากฉันไม่ลบการเข้าถึงกลุ่มผู้ใช้ในพื้นที่ที่ e: ฉันไม่ได้รับแจ้งให้เข้าถึงเพื่อทดสอบเนื่องจาก ACE ที่มีชื่อของฉันถูกสร้างขึ้นโดยอัตโนมัติ

การเข้าถึงที่มีประสิทธิภาพแท็บแสดงบัญชีของฉันมีการควบคุมเต็มรูปแบบสืบทอดมาจากโฟลเดอร์หลักเพื่อท้องถิ่นผู้บริหารกลุ่ม

จากคอมพิวเตอร์เครื่องอื่นในโดเมน ด้วยบัญชีผู้ดูแลระบบโดเมนของฉัน ฉันสามารถเข้าถึงได้โดยไม่ต้องมีป๊อปอัปความปลอดภัยไปยัง\\fileserver\e$\test (โดยไม่ต้องใช้ ACE ในชื่อของฉัน)

คำถามคือ ผู้ดูแลระบบโดเมนทุกคนสามารถเข้าถึงไฟล์ในเครื่องได้อย่างไร โดยไม่ต้องสร้าง ACE สำหรับแต่ละบัญชีผู้ดูแลโดเมน

answer

การควบคุมบัญชีผู้ใช้จำกัดความสามารถของ Explorer ในการใช้งานโดยตรงของการเป็นสมาชิกของผู้ใช้ในบางกลุ่ม รวมถึงกลุ่มภายในของผู้ดูแลระบบและกลุ่มส่วนกลางของ Domain Admins

แต่ข้อ จำกัด นี้ใช้เฉพาะกับกลุ่มพิเศษบางอย่างและโดยเฉพาะอย่างยิ่งมันไม่ได้นำไปใช้กับกลุ่มที่มีกลุ่มเหล่านั้น ซึ่งหมายความว่าคุณสามารถแก้ไขปัญหาได้โดยการสร้างกลุ่มส่วนกลางในโดเมนที่เรียกว่า "My Domain Admins" และเพิ่มกลุ่ม Domain Admins เป็นสมาชิกของ My Domain Admins

หากคุณให้สิทธิ์ My Domain Admins กับไดรฟ์ E อย่างเต็มรูปแบบ สมาชิกทั้งหมดของกลุ่ม Domain Admins จะสามารถเข้าถึงไดรฟ์นั้นได้อย่างเต็มที่เมื่อเข้าสู่ระบบในเครื่อง