7 votos

Se deniega el acceso al grupo de administradores de dominio a la unidad d:.

Tengo un nuevo Active Directory ( CORP-AD ) en Windows 2008R2. Tengo un controlador de dominio ( PDC01 ) y un servidor miembro ( ME01 ).

El servidor miembro tiene un C: y un D: conducir.

Parte de nuestra construcción estándar es eliminar todos los permisos de root de la D: conducir excepto:

SYSTEM         (Full Control)
Administrators (Full Control)

He creado un nuevo usuario de dominio ADMIN01 y le concedió la condición de miembro de la Domain Admins grupo.

Domain Admins es miembro de la red local del servidor miembro Administrators grupo.

Cuando me conecto (vía RDP) al servidor miembro ME01 como usuario del dominio ADMIN01 este usuario no puede acceder al D: conducir. Luego intenté añadir el Domain Admins con control total a root del D: pero mi ADMIN01 el usuario sigue sin poder acceder al D: conducir:

enter image description here

Si entro en ME01 como administrador local de la máquina no tengo problemas para acceder al D: conducir en absoluto.

He descubierto esta pregunta que describe más o menos el mismo problema:

¿Por qué no puedo examinar mi unidad D: aunque esté en el grupo de administradores?

La respuesta sugiere correctamente que se trata de un problema de elevación de privilegios UAC, pero estoy desconcertado por esta declaración, en particular la parte en negrita:

Puede modificar este comportamiento mediante la directiva de grupo h que la configuración por defecto es intencionada - que desea cambiar es "Control de cuentas de usuario": Ejecutar todos los todos los administradores en modo de aprobación de administrador". en este artículo de MSDN.

¿Esto sugiere que "Control de cuentas de usuario: Ejecutar todos los administradores en el modo de aprobación Admin" no debe desactivarse?

Si está activada, no me aparece el desafío de UAC con el botón "Continuar" + el icono del escudo, sino que simplemente se me deniega el acceso a la unidad. ¿Es esto normal?

0 votos

Su captura de pantalla no muestra las entradas de control de acceso para el grupo de seguridad Administradores de dominio (o Administradores para el caso). Sólo muestra las ACE de la cuenta integrada SYSTEM.

0 votos

@sean - Ahora sé la razón, pero no entiendo por qué: serverfault.com/questions/292663/ - Antes mencioné en la pregunta que SYSTEM , Domain Admins y Administators tener el control total. La imagen no aporta mucho, lo admito.

0 votos

Actualmente estoy lidiando con este problema en Server 2012 R2. Tenemos exactamente los mismos síntomas que usted tiene. Hoy nuestro grupo de administración de dominio se corrompió y ninguna cuenta de dominio pudo iniciar sesión para arrancar. Nos vimos obligados a eliminar el servidor del dominio y volver a agregarlo. Una vez que lo volvimos a añadir el permiso de unidad parecía estar resuelto.

4voto

Reto Meier Puntos 55904

La razón, aunque no entiendo por qué, parece ser causada por la eliminación de la incorporada Everyone grupo del D: permisos de unidad.

He seguido con una nueva pregunta:

¿Por qué la eliminación del grupo TODOS impide a los administradores de dominio acceder a una unidad?

0 votos

Buena pregunta. Estoy confundido, sin embargo, en su mensaje inicial sólo aparece SISTEMA y Administradores como tener permisos en la unidad D. ¿Era "Todo el mundo" en esa lista también? ¿Fue "Todo el mundo" en esa lista también?

0 votos

En la pregunta anterior sólo SYSTEM y Administrators tenía permisos sobre el d: conducir.

0voto

Zypher Puntos 26466

Parece que en realidad no es un problema de UAC sino que alguien se ha metido con los permisos a nivel de unidad.

Me gustaría iniciar sesión como administrador local, a continuación, comparar los permisos que se establecen tanto en el C: y el D: unidades, apuesto a que los administradores de dominio, ya sea donde eliminado, o se les ha negado explícitamente.

0 votos

No, no se ha eliminado el grupo de administradores de dominio. Incluso con Administradores y Administradores de Dominio con control total de d: mi ADMIN01 el usuario puede acceder a la unidad sólo si apago Ejecutar todos los administradores en el modo de aprobación de administrador . Esta es una nueva construcción, nada más se ha tocado.

0voto

MDMarra Puntos 81543

Parece que alguien concedió Administrador no el control total de los administradores.

0 votos

No, definitivamente fue Administradores, fui yo quien construyó el servidor.

0voto

Mister Lucky Puntos 3294

¿Realmente cerraste completamente la sesión como usuario ADMIN01 después de realizar los cambios de pertenencia a grupos y añadir el usuario al grupo Administradores de dominio?

Has mencionado mucho el escritorio remoto, quizás la sesión del usuario se desconectó, y los cambios de pertenencia a grupos no surten efecto hasta que el usuario se desconecta completamente y vuelve a conectarse (con Windows también es posible tener dos sesiones abiertas al mismo tiempo).

¿Tiene el usuario ADMIN01 acceso a otras herramientas administrativas a las que normalmente sólo tienen acceso los administradores de dominio? Eso descartaría si se trata de un problema de ACL en la unidad, o un problema de pertenencia a un grupo/permiso.

0 votos

No sólo cerrar la sesión, sino también reiniciar el servidor.

0voto

Greg Askew Puntos 17236

En una presentación de TechEd este año, alguien de Microsoft esencialmente sugirió que si sus administradores saben lo que están haciendo, puede desactivar UAC en los servidores.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X