为什么删除EVERYONE组会阻止域管理员访问驱动器？

这与此问题有关：

域管理员组拒绝访问d：驱动器

我在全新的AD实验室环境中有一个成员服务器。

• 我有一个Active Directory用户ADMIN01，该用户是该Domain Admins组的成员

• 该Domain Admins全局组是成员服务器的本地成员Administrators组

• 服务器成为域成员后，在D:添加的新驱动器的根目录上配置了以下权限：

    所有人-特殊权限-仅此文件夹
      遍历文件夹/执行文件
      列出文件夹/读取数据
      读取属性
      读取扩展属性

    创建者所有者-特殊权限-仅子文件夹和文件
      完全控制

    SYSTEM-此文件夹，子文件夹和文件
      完全控制

    管理员-此文件夹，子文件夹和文件
      完全控制

在上述ACL的作用下，域用户ADMIN01可以登录和访问D:驱动器，创建文件夹和文件，一切都很好。

如果我Everyone从该驱动器的根目录中删除该权限，则属于Domain Admins（eg ADMIN01）组成员的非内置用户将无法再访问该驱动器。域Administrator帐户很好。

本地计算机Administrator和Domain Admin“管理员”帐户仍具有对驱动器的完全访问权限，但是Domain Admins拒绝添加任何已添加到其中的“常规”用户。

无论我是否创建了卷并删除了Everyone以本地计算机登录的权限，Administrator还是我以Domain Admin“管理员”帐户登录的权限，都会发生这种情况。

正如我在上一个问题中提到的，解决方法是在成员服务器上本地或通过域级GPO 禁用“用户帐户控制：以管理员批准模式运行所有管理员”策略。

为什么Everyone从D:具有A身份的非内置用户的ACL 中删除帐户会导致此问题Domain Admins？

同样，为什么不提示这些类型的非内置Domain Admin用户提升其权限，而不仅仅是拒绝访问驱动器？

我本人已经注意到了这一点。发生的情况是UAC启动，因为您使用的是“本地管理员”成员身份才能访问驱动器，而这正是UAC监视的。

对于文件服务器，我个人的最佳实践是永远不要使用“管理员”组为用户提供权限。

尝试以下操作：创建一个名为“ FileServerAdmins”的AD组，或将您的用户（或域管理员组）添加到其中。授予该组对D驱动器的访问权限，并具有与现有Administrators组相同的权限。

您应该注意，即使在删除“所有人”权限之后，“ FileServerAdmins”组的任何成员仍应有权访问驱动器，而不会出现UAC提示符。

当我发现这一点时，我感到有些震惊，它无疑是UAC的一部分，可以使用一些修订...

看来我并不是一个人遇到这个问题。面临的问题似乎是非内置用户，他们Domain Admins在涉及UAC时并不十分了解，并被“特殊对待”：

Windows Server 2008 R2和UAC

Windows 2008上的UAC和Domain Admins权限问题-第1部分

UAC和域管理员权限问题或装满or石的口袋-第2部分

最后一个链接的关键段落解释了：

基本上，与[其他用户]不同，[由-（由我添加）的非内置用户]域管理员将获得两个令牌。它们具有完整的访问令牌（与其他所有人一样）和第二个访问令牌，称为已过滤的访问令牌。此过滤的访问令牌已删除管理权限。Explorer.exe（即全部的根）以过滤后的访问令牌启动，因此，一切都从此启动。

可以将其视为RUNAS。您不再是Domain Admin，而是沦为peon状态。实际上，它是k石。