Windows-Administratorfreigaben ermöglichen unerwünschten Zugriff für alle Domänenbenutzer

1104
snariom38

Mein Problem

Ich habe ein Problem mit Freigaben auf meinem Windows 2008 R2-Server:

  • Alle Freigaben, einschließlich administrativer Freigaben wie c $, geben allen Benutzern die Berechtigung zum Erstellen von Dateien und Ordnern.

Mein versuchter Fix

Ich habe versucht, die Berechtigungen für meine Freigaben mit dem icacls- Tool zurückzusetzen, indem ich Folgendes ausführte :icacls C:\SHARE /reset

Wenn keine Berechtigung vorhanden ist, wird für die gültigen Berechtigungen immer Folgendes angezeigt : " Ordner erstellen / Daten hinzufügen " für alle Domänenkonten. Also habe ich es mit einigen Konten getestet, um zu bestätigen, dass ... Ja, es funktioniert ...

Die icacls-Ausgabe auf einer Freigabe (using icacls C:\SHARE):

C:\SHARE AUTORITE NT\System:(I)(OI)(CI)(F) BUILTIN\Administrators:(I)(OI)(CI)(F) BUILTIN\Utilisators:(I)(OI)(CI)(RX) BUILTIN\Utilisators:(I)(CI)(AD) BUILTIN\Users:(I)(CI)(WD) CREATEUR PROPRIETAIRE:(I)(OI)(CI)(IO)(F)

Ich habe nach ähnlichen Problemen gesucht, aber nur das Gegenteil gefunden.

Als Clients werden Windows 7 verwendet.

Ich bin nicht sicher, was als nächstes zu tun ist, um Fehler zu beheben oder zu beheben.

Aktualisieren

Es funktioniert gut unter Windows Server 2003 R2, das denselben Windows 7-Client verwendet.

Ich habe auch getestet (am 2008 R2) mit vollständiger Kontrolle und Modifikation für alle Benutzer mit Freigabeberechtigungen und NTFS-Berechtigungs-RX (Lesen und Ausführen). Aber keine guten Ergebnisse ...

1
Schneller Gedanke -> Stellen Sie sicher, dass sich die Konten ggf. nicht in der Domänenadministratorgruppe in AD befinden. Überprüfen Sie, in welchen Gruppen sich die Benutzerkonten mit dem Problem auf der AD-Seite befinden, nur für den Fall. Pimp Juice IT vor 7 Jahren 0
Ja! Du bist in Ordnung ! Ich befand mich indirekt in den integrierten Administratoren. Es wurde also behoben, indem die Vererbung aus dem Freigabeordner nicht zugelassen wurde und neue, neue Berechtigungen darauf angewendet wurden. snariom38 vor 7 Jahren 0

1 Antwort auf die Frage

1
Pimp Juice IT

Alle Freigaben, einschließlich administrativer Freigaben wie c $, ermöglichen allen Benutzern das Erstellen von Daten und das Erstellen von Ordnern.

Standardmäßig haben die Gruppe der lokalen Administratoren und die Gruppe der Domänen-Admins (sofern zutreffend) die Berechtigung für die Verwaltungsfreigaben in Windows. In den beiden folgenden Vorschlägen wird beschrieben, wie Sie die Gruppenmitgliedschaft überprüfen sollten, um zu sehen, ob dies der Grund für Ihre Erklärung ist.

Lokaler Server

Überprüfen Sie die Konten nicht in einer lokalen Server, um sicherzustellen, Administratorgruppe auf dem lokalen Server. Überprüfen Sie, in welchen Gruppen sich die Benutzerkonten mit den Problemen auf dieser Ebene befinden, für alle Fälle.

Domain

Stellen Sie sicher, dass sich die Konten ggf. nicht in der Domänenadministratorgruppe in AD befinden. Überprüfen Sie, in welchen Gruppen sich die Benutzerkonten mit dem Problem auf der AD-Seite befinden, nur für den Fall.

Verwandte Probleme