Je suis connecté en tant qu'administrateur de domaine sur Windows Server 2016 (serveur membre de mon domaine). Je crée une deuxième partition NTFS (e :) et je supprime l'accès à la partition locale. utilisateurs (je ne veux pas que des administrateurs extérieurs au domaine aient accès à e :). Je crée un dossier test à la racine de e :
test héritent de l'ACL du parent (e :).
A partir d'Explorer.exe, directement sur le serveur, lorsque j'essaie de saisir sur test Je reçois une fenêtre contextuelle de sécurité. Si j'accepte : un nouvel ACE est créé avec mon compte sur test . Je l'ai jeté. Je n'ai pas de problème avec les administrateur compte.
PS E:\> (Get-Acl e:\).Access
FileSystemRights : ReadAndExecute, Synchronize
AccessControlType : Allow
IdentityReference : Tout le monde
IsInherited : False
InheritanceFlags : None
PropagationFlags : None
FileSystemRights : FullControl
AccessControlType : Allow
IdentityReference : CREATEUR PROPRIETAIRE
IsInherited : False
InheritanceFlags : ContainerInherit, ObjectInherit
PropagationFlags : InheritOnly
FileSystemRights : FullControl
AccessControlType : Allow
IdentityReference : AUTORITE NT\Système
IsInherited : False
InheritanceFlags : ContainerInherit, ObjectInherit
PropagationFlags : None
FileSystemRights : FullControl
AccessControlType : Allow
IdentityReference : BUILTIN\Administrateurs
IsInherited : False
InheritanceFlags : ContainerInherit, ObjectInherit
PropagationFlags : None
PS E:\> (Get-Acl e:\test).Access
FileSystemRights : FullControl
AccessControlType : Allow
IdentityReference : BUILTIN\Administrateurs
IsInherited : True
InheritanceFlags : None
PropagationFlags : None
FileSystemRights : FullControl
AccessControlType : Allow
IdentityReference : CREATEUR PROPRIETAIRE
IsInherited : True
InheritanceFlags : ContainerInherit, ObjectInherit
PropagationFlags : InheritOnly
FileSystemRights : FullControl
AccessControlType : Allow
IdentityReference : AUTORITE NT\Système
IsInherited : True
InheritanceFlags : ContainerInherit, ObjectInherit
PropagationFlags : None
FileSystemRights : FullControl
AccessControlType : Allow
IdentityReference : BUILTIN\Administrateurs
IsInherited : True
InheritanceFlags : ContainerInherit, ObjectInherit
PropagationFlags : InheritOnly
PS E:\> Get-LocalGroupMember administrateurs
ObjectClass Name PrincipalSource
----------- ---- ---------------
Groupe ADM\Admins du domaine ActiveDirectory
Utilisateur FILESERVER\Administrateur Local
PS E:\> Get-ADPrincipalGroupMembership $env:username|? name -eq 'admins du domaine'
distinguishedName : CN=Admins du domaine,CN=Users,DC=adm,DC=sb1
GroupCategory : Security
GroupScope : Global
name : Admins du domaine
objectClass : group
objectGUID : 700378f7-5025-4e24-b293-343ba0f7fcf6
SamAccountName : Admins du domaine
SID : S-1-5-21-2142639626-767165437-316617838-512
Si je ne supprime pas l'accès aux utilisateurs groupe à e :, je ne suis pas invité à accéder à test car l'ACE avec mon nom est créé automatiquement.
En un accès efficace montre que mon compte a un contrôle total, hérité du dossier parent, sur le dossier local. administrateurs groupe.
A partir d'un autre ordinateur sur le domaine, avec mon compte d'administrateur de domaine, je peux accéder sans fenêtre de sécurité à \\fileserver\e $ \test (sans ACE de mon nom).
La question est de savoir comment chaque administrateur de domaine peut accéder aux fichiers localement, sans créer d'ACE individuel pour chaque compte d'administrateur de domaine ?