NTFS - Admin Domain tidak memiliki izin meskipun menjadi bagian dari grup Administrator Lokal


8

Sesuai staf "Praktik Terbaik" di departemen TI kami memiliki dua akun. Akun tidak terprivat dan akun yang merupakan anggota grup global Domain Admin ($ DOMAIN \ Domain Admin). Pada server file kami, grup Admin Domain ditambahkan ke grup Administrator lokal ($ SERVER \ Administrator). Grup Administrator lokal memiliki Kontrol Penuh yang diberikan pada direktori ini. Cukup standar.

Namun, jika saya masuk ke server dengan akun Admin Domain saya untuk turun ke direktori itu, saya harus menyetujui permintaan UAC yang mengatakan, "Saat ini Anda tidak memiliki izin untuk mengakses folder ini. Klik terus untuk mendapatkan akses secara permanen ke folder ini. " Mengklik lanjutkan memberikan izin akun Domain Admin saya di folder itu dan hal lain di bawahnya meskipun $ SERVER \ Administrator (yang saya adalah anggota melalui grup Admin Domain) sudah memiliki Kontrol Penuh.

Dapatkah seseorang menjelaskan perilaku ini dan apa cara yang tepat untuk mengelola izin NTFS untuk berbagi file terkait dengan hak administratif dengan Server 2008 R2 dan UAC?


Baik mengelola sistem dari jarak jauh, atau menonaktifkan UAC.
Zoredache

2
Saya tidak setuju dengan siapa pun yang merekomendasikan untuk menonaktifkan UNC. Akses file melalui UNC - Saya yakin ini akan berfungsi bahkan di server lokal.
Multiverse IT

Saya tidak tahan dengan perilaku ini di WS2008 + tetapi harus setuju dengan rekomendasi @ MultiverseIT untuk meninggalkan UAC sendirian.
SturdyErde

Jawaban:


11

Benar, UAC dipicu ketika sebuah program meminta hak administrator. Seperti Explorer, meminta hak administrator, karena itulah yang diperlukan NTFS ACL pada file dan folder tersebut.

Anda memiliki empat opsi yang saya ketahui.

  1. Nonaktifkan UAC di server Anda.

    • Saya tetap melakukan ini (dalam kasus umum), dan berpendapat bahwa jika Anda memerlukan UAC di server, Anda mungkin salah melakukannya, karena secara umum, hanya administrator yang harus masuk ke server, dan mereka harus tahu apa yang mereka lakukan. perbuatan.

  2. Kelola izin dari antarmuka yang tinggi

    • cmdJendela yang ditinggikan , PSjendela atau contoh Explorer semuanya berfungsi untuk menghindari sembulan UAC. ( Run As Administrator)

  3. Kelola izin NTFS dari jarak jauh

    • Terhubung melalui UNC dari mesin yang tidak memiliki UAC dihidupkan.

  4. Buat grup non-administratif tambahan yang memiliki akses penuh di NTFS ACL ke semua file dan folder yang ingin Anda manipulasi, dan tetapkan admin Anda untuk itu.

    • Popup UAC tidak akan (tidak boleh) dipicu, karena Explorer tidak akan lagi memerlukan hak administratif, karena akses ke file diberikan melalui grup non-administratif lainnya.

2
Daftar bagus Satu catatan: jika Anda mengelola izin NTFS dari jarak jauh, tidak masalah apakah UAC diaktifkan untuk sistem yang Anda kelola. Itu tidak akan meminta ketika memodifikasi ACL di server jauh.
SturdyErde

1
Yay! Opsi 4 berfungsi dengan baik :)
CrazyTim

Sesuatu membawa saya kembali ke tanya jawab ini dan saya harus merevisi komentar saya sebelumnya. Daftarnya bagus kecuali untuk saran pertama Anda. Jika Anda perlu menonaktifkan UAC di server, Anda salah melakukannya. Jika Anda harus mengelola folder secara lokal di server (sekali lagi, melakukannya salah) :) maka yang dapat Anda lakukan adalah menambahkan ACE ke struktur folder Anda yang memberikan prinsip keamanan "INTERAKTIF" izin "Daftar isi". Ini akan memungkinkan admin untuk menelusuri struktur folder tanpa diminta UAC.
SturdyErde

Menarik, opsi 4 tidak berfungsi untuk saya (Server 2016). Namun, pemberian prinsip keamanan INTERAKTIF 'Folder daftar' dan 'Izin Baca' berhasil. Tapi bukan itu yang saya nyaman gunakan.
Brad Bamford

1

Cara terbaik adalah mengubah kunci registri di

registry :: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ kebijakan \ sistem; key = EnableLUA

Pastikan diatur ke Nilai 0 untuk menonaktifkannya. Anda harus mem-boot ulang untuk mengaktifkannya. Antarmuka mungkin memperlihatkannya sebagai dinonaktifkan saat registri diaktifkan.


Membuat perubahan registri ini akan menonaktifkan UAC dan sangat tidak disarankan oleh praktik terbaik Microsoft.
Joshua Hanley

1

Tetapkan kedua kebijakan ini untuk anggota grup Administrator lokal agar dapat mengubah file dan terhubung ke admin berbagi:

masukkan deskripsi gambar di sini

Reboot akan diperlukan setelah melakukan perubahan ini.


Tidak yakin apakah metode ini benar-benar berfungsi, tetapi mengurangi keamanan secara keseluruhan dan tidak perlu menyelesaikan masalah. Dua solusi kerja telah disediakan tanpa mengurangi keamanan.
SturdyErde

Metode ini berhasil. Bagaimana ini mengurangi keamanan di mana metode lain tidak? Keduanya merekomendasikan menonaktifkan UAC sepenuhnya (meskipun jawaban yang diterima menyediakan beberapa opsi lain). Ini membuat UAC, tetapi memungkinkan anggota grup Admin untuk benar-benar menggunakan izin yang ditetapkan pada UAC. Ini tampaknya menjadi metode terbaik bagi saya.
Mordred

Metode ini akan berfungsi, tetapi menonaktifkan Mode Persetujuan Admin merusak UAC dengan menonaktifkan token-keamanan-perpecahan yang memungkinkan seseorang untuk masuk sebagai administrator tanpa melakukan Windows yang setara dengan masuk sebagai root. Dengan AAM dinonaktifkan, semua proses yang dijalankan oleh akun administrator akan berjalan dengan hak admin penuh, alih-alih hanya yang membutuhkan hak tersebut dan disetujui oleh administrator melalui prompt UAC. Ini adalah bagian inti dari UAC, dan Anda tidak harus menonaktifkannya. Lihat jawaban @ HopelessN00b untuk beberapa pilihan superior.
Joshua Hanley

0

Anda juga dapat menonaktifkan mode Persetujuan Admin untuk administrator melalui GPO atau dalam Kebijakan Keamanan Lokal.

Kebijakan Keamanan Lokal \ Pengaturan Keamanan \ Kebijakan Lokal \ Opsi Keamanan \ Kontrol Akun Pengguna: Jalankan semua administrator dalam Mode Persetujuan Admin - Dinonaktifkan

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.