Pourquoi la suppression du groupe EVERYONE empêche-t-elle les administrateurs du domaine d'accéder à un lecteur ?

Windows Server & IT Pro Active Directory & Entra ID
1

Ceci est lié à cette question :

Le groupe Administrateurs du domaine s’est vu refuser l’accès au lecteur D:

J’ai le problème suivant avec nos serveurs de fichiers : lorsque je supprime le groupe « Tout le monde » (Everyone) d’un lecteur de données sur un serveur de fichiers, les Administrateurs du domaine ne peuvent plus accéder au lecteur.

J’ai un serveur de fichiers Windows Server 2008 R2 avec un lecteur D: pour les données. Je voulais nettoyer les permissions de sécurité et j’ai supprimé le groupe « Tout le monde » du lecteur D:, en m’assurant que les Administrateurs du domaine avaient un contrôle total. Après avoir supprimé « Tout le monde », lorsque j’essaie d’accéder au lecteur en tant qu’Administrateur du domaine, j’obtiens « Accès refusé ».

Le problème ne se produit que pour les utilisateurs qui sont Administrateurs du domaine via l’appartenance au groupe. Le compte Administrateur intégré n’a pas ce problème.

Ce problème est reproductible sur d’autres serveurs. Il me semble que les permissions « Tout le monde » sont en quelque sorte nécessaires pour que les Administrateurs du domaine puissent traverser et accéder aux objets du système de fichiers.

Pourquoi la suppression du groupe EVERYONE empêche-t-elle les Administrateurs du domaine d’accéder à un lecteur ?

2

Il semble que je ne sois pas le seul à rencontrer ce problème. Le problème en jeu semble être que les utilisateurs non intégrés qui sont Administrateurs du domaine ne sont pas tout à fait les mêmes que le compte Administrateur intégré.

Le problème est lié au contrôle de compte d’utilisateur (UAC). Lorsqu’un Administrateur du domaine se connecte, deux jetons d’accès sont créés : un jeton complet avec tous les privilèges et un jeton filtré avec des privilèges réduits. L’Explorateur Windows et la plupart des applications utilisent le jeton filtré. Le groupe « Tout le monde » est inclus dans le jeton filtré, ce qui permet l’accès au système de fichiers.

Lorsque vous supprimez « Tout le monde », le jeton filtré n’a plus les permissions nécessaires pour accéder au lecteur. Le compte Administrateur intégré n’est pas affecté car il a une exemption UAC par défaut.

La solution est soit de :

  • Ajouter le groupe « Utilisateurs authentifiés » au lieu de « Tout le monde » (plus sécurisé)
  • Désactiver UAC pour les administrateurs (non recommandé)
  • Utiliser une invite de commandes élevée (clic droit > Exécuter en tant qu’administrateur) pour accéder au lecteur