1 votes

Pourquoi Explorer me demande-t-il de prendre le contrôle du dossier ?

Je suis connecté en tant qu'administrateur de domaine sur Windows Server 2016 (serveur membre de mon domaine). Je crée une deuxième partition NTFS (e :) et je supprime l'accès à la partition locale. utilisateurs (je ne veux pas que des administrateurs extérieurs au domaine aient accès à e :). Je crée un dossier test à la racine de e :

test héritent de l'ACL du parent (e :).

A partir d'Explorer.exe, directement sur le serveur, lorsque j'essaie de saisir sur test Je reçois une fenêtre contextuelle de sécurité. Si j'accepte : un nouvel ACE est créé avec mon compte sur test . Je l'ai jeté. Je n'ai pas de problème avec les administrateur compte.

PS E:\> (Get-Acl e:\).Access

FileSystemRights  : ReadAndExecute, Synchronize
AccessControlType : Allow
IdentityReference : Tout le monde
IsInherited       : False
InheritanceFlags  : None
PropagationFlags  : None

FileSystemRights  : FullControl
AccessControlType : Allow
IdentityReference : CREATEUR PROPRIETAIRE
IsInherited       : False
InheritanceFlags  : ContainerInherit, ObjectInherit
PropagationFlags  : InheritOnly

FileSystemRights  : FullControl
AccessControlType : Allow
IdentityReference : AUTORITE NT\Système
IsInherited       : False
InheritanceFlags  : ContainerInherit, ObjectInherit
PropagationFlags  : None

FileSystemRights  : FullControl
AccessControlType : Allow
IdentityReference : BUILTIN\Administrateurs
IsInherited       : False
InheritanceFlags  : ContainerInherit, ObjectInherit
PropagationFlags  : None

PS E:\> (Get-Acl e:\test).Access

FileSystemRights  : FullControl
AccessControlType : Allow
IdentityReference : BUILTIN\Administrateurs
IsInherited       : True
InheritanceFlags  : None
PropagationFlags  : None

FileSystemRights  : FullControl
AccessControlType : Allow
IdentityReference : CREATEUR PROPRIETAIRE
IsInherited       : True
InheritanceFlags  : ContainerInherit, ObjectInherit
PropagationFlags  : InheritOnly

FileSystemRights  : FullControl
AccessControlType : Allow
IdentityReference : AUTORITE NT\Système
IsInherited       : True
InheritanceFlags  : ContainerInherit, ObjectInherit
PropagationFlags  : None

FileSystemRights  : FullControl
AccessControlType : Allow
IdentityReference : BUILTIN\Administrateurs
IsInherited       : True
InheritanceFlags  : ContainerInherit, ObjectInherit
PropagationFlags  : InheritOnly

PS E:\> Get-LocalGroupMember administrateurs

ObjectClass Name                           PrincipalSource
----------- ----                           ---------------
Groupe      ADM\Admins du domaine          ActiveDirectory
Utilisateur FILESERVER\Administrateur      Local

PS E:\> Get-ADPrincipalGroupMembership $env:username|? name -eq 'admins du domaine'

distinguishedName : CN=Admins du domaine,CN=Users,DC=adm,DC=sb1
GroupCategory     : Security
GroupScope        : Global
name              : Admins du domaine
objectClass       : group
objectGUID        : 700378f7-5025-4e24-b293-343ba0f7fcf6
SamAccountName    : Admins du domaine
SID               : S-1-5-21-2142639626-767165437-316617838-512

Si je ne supprime pas l'accès aux utilisateurs groupe à e :, je ne suis pas invité à accéder à test car l'ACE avec mon nom est créé automatiquement.

En un accès efficace montre que mon compte a un contrôle total, hérité du dossier parent, sur le dossier local. administrateurs groupe.

A partir d'un autre ordinateur sur le domaine, avec mon compte d'administrateur de domaine, je peux accéder sans fenêtre de sécurité à \\fileserver\e $ \test (sans ACE de mon nom).

La question est de savoir comment chaque administrateur de domaine peut accéder aux fichiers localement, sans créer d'ACE individuel pour chaque compte d'administrateur de domaine ?

0voto

Harry Johnston Points 5785

Contrôle du compte d'utilisateur restreint la capacité d'Explorer à utiliser directement l'appartenance de l'utilisateur à certains groupes, notamment le groupe local Administrateurs et le groupe global Admins du domaine.

Toutefois, cette restriction ne s'applique qu'aux certains groupes particuliers, et en particulier no s'appliquent aux groupes qui contiennent ces groupes. Cela signifie que vous pouvez résoudre votre problème en créant un groupe global dans le domaine appelé, par exemple, "Mes administrateurs de domaine" et en ajoutant le groupe Admins de domaine en tant que membre de Mes administrateurs de domaine.

Si vous accordez ensuite à My Domain Admins l'autorisation complète d'accéder au lecteur E, tous les membres du groupe Domain Admins auront un accès complet à ce lecteur lorsqu'ils seront connectés localement.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X