web-dev-qa-db-ja.com

NTFS-ローカル管理者グループに属しているにもかかわらず、ドメイン管理者には権限がありません

「ベストプラクティス」に従って、IT部門のスタッフは2つのアカウントを持っています。特権のないアカウントと、グローバルDomain Admins($ DOMAIN\Domain Admins)グループのメンバーであるアカウント。ファイルサーバーでは、Domain AdminsグループがローカルのAdministrators($ SERVER\Administrators)グループに追加されます。ローカル管理者グループには、これらのディレクトリに対するフルコントロールが付与されています。かなり標準。

ただし、そのディレクトリに移動するためにドメイン管理者アカウントでサーバーにログインする場合、「現在このフォルダーにアクセスする権限がありません。継続してにアクセスするには、続行をクリックしてください」というUACプロンプトを承認する必要があります。このフォルダ。」 [続行]をクリックすると、$ SERVER\Administrators(私はDomain Adminsグループを介してメンバーになっています)に既に完全な制御権があるにもかかわらず、そのフォルダーおよびその下にある他のすべてに対するドメイン管理者アカウントのアクセス許可が付与されます。

誰かがこの動作を説明できますか?また、ファイル共有のNTFSアクセス許可を管理する適切な方法は、Server 2008 R2およびUACの管理者権限に関してどのようなものですか?

8
user62491

右、プログラムが管理者特権を要求するとUACがトリガーされます。エクスプローラなど、管理者権限を要求します。これは、これらのファイルとフォルダに対するNTFS ACLが必要だからです。

私が知っている4つのオプションがあります。

  1. サーバーでUACを無効にします。

    • 私はとにかくこれを行い(一般的な場合)、サーバーにUACが必要な場合、おそらくそれは間違っていると主張します。なぜなら、一般に、管理者だけがサーバーにログオンし、何が何であるかを知っている必要があるからです。やっている。

  2. 昇格されたインターフェイスからアクセス許可を管理する

    • 昇格されたcmdウィンドウ、PSウィンドウ、またはExplorerインスタンスはすべて、UACポップアップを回避するために機能します。 (Run As Administrator

  3. NTFSアクセス許可をリモートで管理する

    • UACが有効になっていないマシンからUNC経由で接続します。

  4. NTFS ACLで、操作するすべてのファイルとフォルダーへのフルアクセスを持つ追加の非管理グループを作成し、それに管理者を割り当てます。

    • ファイルへのアクセスは管理者以外の別のグループを通じて許可されるため、エクスプローラーが管理者権限を必要としないため、UACポップアップはトリガーされません(トリガーされません)。
11
HopelessN00b

ローカル管理者グループのメンバーにこれらの両方のポリシーを設定して、ファイルを変更し、管理共有に接続できるようにします。

enter image description here

これらの変更を行った後、再起動が必要になります。

1
Manfred

最善の方法は、次の場所でレジストリキーを変更することです。

レジストリ:: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system;キー= EnableLUA

無効にするには、値が0に設定されていることを確認してください。有効にするには再起動する必要があります。レジストリが有効になっている間、インターフェイスで無効と表示される場合があります。

1
Ben

GPOまたはローカルセキュリティポリシーで、管理者の管理者承認モードを無効にすることもできます。

ローカルセキュリティポリシー\セキュリティ設定\ローカルポリシー\セキュリティオプション\ユーザーアカウント制御:すべての管理者を管理者承認モードで実行する-無効

0
Ron