NTFS - Les administrateurs du domaine n'ont pas les permissions malgré leur appartenance au groupe Administrateurs local

Windows Server & IT Pro Active Directory & Entra ID
1

Conformément aux « bonnes pratiques », le personnel de notre département informatique dispose de deux comptes. Un compte non privilégié et un compte membre du groupe global Admins du domaine ($DOMAIN\Domain Admins). Sur nos serveurs de fichiers, le groupe Admins du domaine est ajouté au groupe Administrateurs local ($SERVER\Administrators). Le groupe Administrateurs local a le Contrôle total accordé sur ces répertoires. C’est assez standard.

Cependant, si je me connecte au serveur avec mon compte Admin du domaine afin de descendre dans ce répertoire, je dois approuver une invite UAC qui dit « Vous n’avez pas actuellement la permission d’accéder à ce dossier. Cliquez sur Continuer pour obtenir un accès permanent à ce dossier. » En cliquant sur Continuer, mon compte Admin du domaine obtient des permissions sur ce dossier et tout ce qui se trouve en dessous, bien que $SERVER\Administrators (dont je suis membre via le groupe Admins du domaine) ait déjà le Contrôle total.

Quelqu’un peut-il expliquer ce comportement et quelle est la bonne façon de gérer les permissions NTFS pour les partages de fichiers en ce qui concerne les droits administratifs avec Server 2008 R2 et l’UAC ?

2

En effet, l’UAC se déclenche lorsqu’un programme demande des privilèges d’administrateur. Comme l’Explorateur, qui demande des privilèges d’administrateur, parce que c’est ce que les ACL NTFS de ces fichiers et dossiers exigent.

Vous avez quatre options dont je suis au courant.

Désactivez l’UAC sur vos serveurs.

  • Je le fais de toute façon (dans le cas général), et je dirais que si vous avez besoin de l’UAC sur un serveur, vous faites probablement quelque chose de travers, car en général, seuls les administrateurs devraient se connecter aux serveurs, et ils devraient savoir ce qu’ils font.

Gérez les permissions depuis une interface élevée

  • Une fenêtre cmd élevée, une fenêtre PS ou une instance de l’Explorateur élevée fonctionnent toutes pour éviter la fenêtre contextuelle UAC. (Exécuter en tant qu'administrateur)

Gérez les permissions NTFS à distance

  • Connectez-vous via UNC depuis une machine qui n’a pas l’UAC activé.

Créez un groupe non administratif supplémentaire qui a un accès complet dans les ACL NTFS à tous les fichiers et dossiers que vous souhaitez manipuler, et assignez-y vos administrateurs.

  • La fenêtre contextuelle UAC ne devrait pas être déclenchée, car l’Explorateur ne nécessitera plus de privilèges administratifs, puisque l’accès aux fichiers est accordé via un autre groupe non administratif.