Ceci est lié à cette question:
Le groupe des administrateurs de domaine s'est vu refuser l'accès au lecteur d:
J'ai un serveur membre dans un tout nouvel environnement de laboratoire AD.
J'ai un utilisateur Active Directory
ADMIN01
qui est membre duDomain Admins
groupeLe
Domain Admins
groupe global est membre duAdministrators
groupe local du serveur membreLes autorisations suivantes sont configurées à la racine de mon nouveau
D:
lecteur ajouté après que le serveur est devenu membre du domaine:
Tout le monde - Autorisations spéciales - Ce dossier uniquement Déplacer le dossier / exécuter le fichier Liste des dossiers / lecture des données Lire les attributs Lire les attributs étendus CREATOR OWNER - Autorisations spéciales - Sous-dossiers et fichiers uniquement Controle total SYSTEM - Ce dossier, sous-dossiers et fichiers Controle total Administrateurs - Ce dossier, sous-dossiers et fichiers Controle total
Sous les ACL ci-dessus, l'utilisateur du domaine ADMIN01
peut se connecter et accéder au D:
lecteur, créer des dossiers et des fichiers et tout va bien.
Si je supprime l' Everyone
autorisation de la racine de ce lecteur, les utilisateurs non intégrés qui sont membres du groupe Domain Admins
(par exemple ADMIN01
) ne peuvent plus accéder au lecteur. Le Administrator
compte de domaine va bien.
La machine locale Administrator
et le compte Domain Admin
"Administrateur" ont toujours un accès complet au lecteur, mais tout utilisateur "normal" qui a été ajouté Domain Admins
se voit refuser l'accès.
Cela se produit que j'ai créé le volume et supprimé l' Everyone
autorisation connectée en tant que machine locale Administrator
ou que j'effectue cette connexion en tant que Domain Admin
compte "Administrateur".
Comme mentionné dans ma question précédente, la solution consiste à désactiver la stratégie «Contrôle de compte d'utilisateur: exécuter tous les administrateurs en mode d'approbation administrateur» localement sur le serveur membre ou via un objet de stratégie de groupe à l'échelle du domaine.
Pourquoi la suppression du Everyone
compte de D:
la liste de contrôle d'accès provoque-t-elle ce problème pour les utilisateurs non intégrés auxquels l'adhésion est accordée Domain Admins
?
De plus, pourquoi ces types d'utilisateurs non intégrés ne sont-ils pas Domain Admin
invités à élever leurs autorisations plutôt que de se voir refuser catégoriquement l'accès au lecteur?