NTFS-도메인 관리자는 로컬 관리자 그룹에 속하더라도 권한이 없습니다.


8

IT 부서의 "모범 사례"에 따르면 두 명의 계정이 있습니다. 권한이없는 계정 및 글로벌 도메인 관리자 ($ DOMAIN \ Domain Admins) 그룹의 구성원 인 계정 파일 서버에서 Domain Admins 그룹은 로컬 관리자 ($ SERVER \ Administrators) 그룹에 추가됩니다. 로컬 관리자 그룹은이 디렉토리에 대해 모든 권한이 부여됩니다. 꽤 표준입니다.

그러나 해당 디렉토리로 내려 가기 위해 도메인 관리자 계정으로 서버에 로그인하는 경우 "현재이 폴더에 액세스 할 수있는 권한이 없습니다. 계속 액세스하려면 계속 클릭하십시오"라는 UAC 프롬프트를 승인해야합니다. 이 폴더. " 계속을 클릭하면 $ SERVER \ Administrators (도메인 관리자 그룹을 통해 구성원 임)가 이미 모든 권한을 가지고 있음에도 불구하고 해당 폴더 및 그 밖의 모든 항목에 대한 도메인 관리자 계정 권한이 부여됩니다.

누군가이 동작을 설명하고 파일 공유에 대한 NTFS 권한을 관리하는 적절한 방법이 Server 2008 R2 및 UAC의 관리 권한과 관련하여 설명 할 수 있습니까?


시스템을 원격으로 관리하거나 UAC를 비활성화하십시오.
Zoredache

2
UNC 비활성화를 권장하는 사람은 동의하지 않습니다. UNC를 통해 파일에 액세스하십시오-로컬 서버에서도 작동한다고 생각합니다.
Multiverse IT 2011

WS2008 +에서는이 동작을 견딜 수 없지만 UAC를 그대로 두려면 @MultiverseIT의 권장 사항에 동의해야합니다.
SturdyErde

답변:


11

프로그램이 관리자 권한을 요청하면 UAC가 트리거됩니다. 탐색기와 같이 관리자 권한을 요청하는 경우 해당 파일 및 폴더의 NTFS ACL이 필요하기 때문에 관리자 권한을 요청합니다.

내가 아는 네 가지 옵션이 있습니다.

  1. 서버에서 UAC를 비활성화하십시오.

    • 어쨌든 (일반적인 경우)이 작업을 수행하고 서버에서 UAC가 필요한 경우 일반적으로 관리자 만 서버에 로그온해야하며 서버가 무엇인지 알아야하기 때문에 잘못하고 있다고 주장합니다 하기.

  2. 높은 인터페이스에서 권한 관리

    • 높은 cmd창, PS창 또는 탐색기 인스턴스는 모두 UAC 팝업을 피하기 위해 작동합니다. ( Run As Administrator)

  3. 원격으로 NTFS 권한 관리

    • UAC가 켜져 있지 않은 컴퓨터에서 UNC를 통해 연결하십시오.

  4. NTFS ACL에서 조작하려는 모든 파일 및 폴더에 대한 전체 액세스 권한이있는 추가 비 관리 그룹을 만들고 관리자를 할당하십시오.

    • 파일에 대한 액세스 권한이 다른 비 관리 그룹을 통해 부여되므로 탐색기에 더 이상 관리 권한이 필요하지 않으므로 UAC 팝업이 트리거되지 않아야합니다.

2
좋은 목록입니다. 참고 : NTFS 권한을 원격으로 관리하는 경우 관리중인 시스템에서 UAC를 사용할 수 있는지 여부는 중요하지 않습니다. 원격 서버에서 ACL을 수정할 때 메시지가 표시되지 않습니다.
SturdyErde

1
예이! 옵션 4 잘 작동 :)
CrazyTim

어떤 것이이 Q / A로 되돌아 왔고 이전 의견을 수정해야합니다. 첫 번째 제안을 제외하고 목록이 좋습니다 . 서버에서 UAC를 비활성화해야하는 경우 잘못된 것입니다. 서버에서 로컬로 폴더를 관리해야하는 경우 (다시 잘못 함) :) 할 수있는 일은 "INTERACTIVE"보안 사용자에게 "내용 나열"권한을 부여하는 ACE를 폴더 구조에 추가하는 것입니다. 이를 통해 관리자는 UAC 프롬프트없이 폴더 구조를 탐색 할 수 있습니다.
SturdyErde

흥미롭고, 옵션 4가 나에게 도움이되지 않았습니다 (서버 2016). 그러나 대화 형 보안 원칙 인 '목록 폴더'및 '읽기 권한'을 부여하면 작동합니다. 그러나 그것은 내가 편안하게 사용하는 것이 아닙니다.
Brad Bamford

1

가장 좋은 방법은 다음 위치에서 레지스트리 키를 변경하는 것입니다.

레지스트리 :: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ policies \ system; 키 = EnableLUA

비활성화하려면 값 0으로 설정되어 있는지 확인하십시오. 적용하려면 재부팅해야합니다. 레지스트리가 활성화 된 동안 인터페이스가 비활성화 된 것으로 표시 될 수 있습니다.


이 레지스트리를 변경하면 UAC가 비활성화되고 Microsoft 모범 사례에 따라 사용하지 않는 것이 좋습니다.
Joshua Hanley

1

로컬 관리자 그룹 구성원이 파일을 변경하고 관리자 공유에 연결할 수 있도록 다음 정책을 모두 설정하십시오.

여기에 이미지 설명을 입력하십시오

이러한 변경을 수행 한 후 재부팅해야합니다.


이 방법이 실제로 작동하는지 확실하지 않지만 전반적인 보안이 저하되므로 문제를 해결할 필요가 없습니다. 보안을 저하시키지 않으면 서 두 가지 작동 솔루션이 이미 제공되었습니다.
SturdyErde

이 방법은 효과가 있습니다. 다른 방법으로는 그렇지 않은 보안을 어떻게 줄일 수 있습니까? 둘 다 UAC를 완전히 비활성화하는 것이 좋습니다 (허용 된 답변은 다른 옵션을 제공하지만). 이렇게하면 UAC는 유지되지만 관리 그룹 구성원은 실제로 UAC에 설정된 권한을 사용할 수 있습니다. 이것은 나에게 가장 좋은 방법 인 것 같습니다.
Mordred

이 방법은 작동하지만 루트 보안 로그인과 동일한 Windows 작업을 수행하지 않고 관리자로 로그인 할 수있는 split-security-token을 비활성화하여 Admin Approval Mode 중성자 UAC를 비활성화합니다. AAM을 비활성화하면 관리자 계정으로 실행되는 모든 프로세스는 해당 권한이 필요하고 UAC 프롬프트를 통해 관리자가 승인 한 프로세스 대신 전체 관리자 권한으로 실행됩니다. UAC의 핵심 부분이므로 비활성화하지 않아야합니다. 몇 가지 우수한 선택에 대해서는 @ HopelessN00b의 답변을 참조하십시오.
Joshua Hanley 2012

0

GPO를 통해 또는 로컬 보안 정책에서 관리자에 대한 관리자 승인 모드를 비활성화 할 수도 있습니다.

로컬 보안 정책 \ 보안 설정 \ 로컬 정책 \ 보안 옵션 \ 사용자 계정 컨트롤 : 관리자 승인 모드에서 모든 관리자 실행-비활성화

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.