Общие ресурсы администратора Windows, разрешающие нежелательный доступ всем пользователям домена

987
snariom38

Моя проблема

У меня проблема с общими папками на моем сервере Windows 2008 R2:

  • Все общие ресурсы, включая административные, такие как c $, разрешают всем пользователям создавать файлы и папки.

Моя попытка исправить

Я попытался сбросить разрешения для моих общих ресурсов с помощью инструмента icacls, выполнив что-то вроде:icacls C:\SHARE /reset

Без каких-либо разрешений действующие разрешения всегда показывают: « Создать папку / добавить данные » для всех учетных записей домена. Итак, я проверил это с некоторыми учетными записями, чтобы подтвердить, что ... Да, это работает ...

Вывод icacls на долю (используя icacls C:\SHARE):

C:\SHARE AUTORITE NT\System:(I)(OI)(CI)(F) BUILTIN\Administrators:(I)(OI)(CI)(F) BUILTIN\Utilisators:(I)(OI)(CI)(RX) BUILTIN\Utilisators:(I)(CI)(AD) BUILTIN\Users:(I)(CI)(WD) CREATEUR PROPRIETAIRE:(I)(OI)(CI)(IO)(F)

Я искал похожие проблемы, но нашел только противоположное.

Используемые клиенты - Windows 7.

Я не уверен, что делать дальше, чтобы устранить неполадки или решить.

Обновить

Он хорошо работает на Windows Server 2003 R2, используя тот же клиент Windows 7.

Я также проверил (на 2008 R2) с полным контролем и модификацией для всех на разрешениях общего ресурса и разрешениях NTFS RX (Чтение и Выполнение). Но нет хороших результатов ...

1
Краткий обзор -> Убедитесь, что учетные записи не входят в группу администраторов домена в AD, если это применимо. Проверьте, в каких группах находятся учетные записи пользователей с проблемой на всякий случай. Pimp Juice IT 7 лет назад 0
Ага ! Вы в порядке ! Я был косвенным образом во встроенных администраторах ... Так что это решается путем запрета наследования из папки общего доступа и применения новых новых разрешений для него. snariom38 7 лет назад 0

1 ответ на вопрос

1
Pimp Juice IT

Все общие ресурсы, включая административные, как c $, позволяют всем пользователям создавать данные и создавать папки.

По умолчанию группе локальных администраторов и группе администраторов домена (если применимо) разрешено предоставлять доступ к административным общим ресурсам в Windows, поэтому см. Два приведенных ниже предложения о том, как проверить членство в группе, чтобы узнать, является ли это причиной того, что вы объясняете.

Локальный сервер

Убедитесь, что учетные записи не входят в группу администраторов локального сервера на локальном сервере. Проверьте, в каких группах на данном уровне находятся учетные записи пользователей с проблемами.

Домен

Убедитесь, что учетные записи не входят в группу администраторов домена в AD, если это применимо. Проверьте, в каких группах находятся учетные записи пользователей с проблемой на всякий случай.

Похожие вопросы