すべてのドメインユーザーに不要なアクセスを許可するWindows管理共有

Question

私の問題

Windows 2008 R2サーバーの共有に問題があります：

管理共有 c $などのすべての共有は、すべてのユーザーにファイルとフォルダーを作成する権限を許可します。

私の試みた修正

icacls ツールを使用して、次のようにして共有のアクセス許可をリセットしようとしました：icacls C:\SHARE /reset

権限がない場合、有効な権限は常にすべてのドメインアカウントに対して「フォルダの作成/データの追加」と表示されます。だから、私はそれを確認するためにいくつかのアカウントでそれをテストしました...はいそれは動作します...

共有でのicacls出力（`icacls C:\SHARE`を使用）：

C:\SHARE AUTORITE NT\System:(I)(OI)(CI)(F) BUILTIN\Administrators:(I)(OI)(CI)(F) BUILTIN\Utilisators:(I)(OI)(CI)(RX) BUILTIN\Utilisators:(I)(CI)(AD) BUILTIN\Users:(I)(CI)(WD) CREATEUR PROPRIETAIRE:(I)(OI)(CI)(IO)(F)

私は同様の問題を検索しましたが、反対の問題しか見つかりませんでした。

使用されるクライアントはWindows7です。

トラブルシューティングまたは解決するために次に何をすべきかわかりません。

更新

同じWindows7クライアントを使用するWindowsServer 2003R2で正常に動作します。

また、共有アクセス許可とNTFSアクセス許可RX（読み取りと実行）のすべてのユーザーを完全に制御および変更して（2008 R2で）テストしました。しかし、良い結果はありません...

Pimp Juice IT · Accepted Answer

管理共有をc $として含むすべての共有により、すべてのユーザーがデータを作成し、フォルダーを作成できます。

デフォルトでは、ローカル管理者グループとドメイン管理者グループ（該当する場合）はWindowsの管理共有へのアクセス許可を許可されているため、グループを確認する方法については、以下の2つの提案を参照してください。これがあなたが説明することを引き起こしているものであるかどうかを見るために賢明なメンバーシップ。

ローカルサーバー

アカウントがローカルサーバーにないことを確認してくださいadministratorローカルサーバーのグループ。万が一の場合に備えて、問題のあるユーザーアカウントがこのレベルにあるグループを確認してください。

ドメイン

該当する場合は、アカウントがADのドメイン管理者グループにないことを確認してください。万が一の場合に備えて、問題のあるユーザーアカウントがAD側からどのグループに属しているかを確認してください。