L'utente nel gruppo amministratori non ha gli stessi diritti dell'amministratore (Win 2012 R2)

10

Ho creato un amministratore utente e ho inserito questo utente nei gruppi di amministratori (locale, non esiste un annuncio). Ma questo utente amministratore non ha gli stessi diritti dell'utente amministratore stesso.

Esempio 1: un file è di proprietà di SYSTEM e il gruppo di amministratori ha il pieno controllo. Se provo ad aggiungere autorizzazioni per un utente a questo file, non funziona per l'utente amministratore. Con l'amministratore funziona senza alcun problema.

Esempio 2: IE Enhanced Security Configuration è impostato su OFF per gli amministratori, ON per gli utenti. Per l'amministratore va bene, per l'amministratore è ancora attivo.

È un problema di configurazione? In tal caso, cosa devo fare per farlo bene?

permissions  windows-server-2012-r2  users 
Maarten
fonte
1
Questo non dovrebbe comportarsi in questo modo. Assicurati che questo account locale sia veramente nel gruppo Administrators locale. Durante l'accesso con quell'utente è possibile eseguire WHOAMI /GROUPS /FO LISTper verificare che facciano veramente parte dei gruppi giusti.
TheCleaner,
5
Hai effettuato l'accesso e riconnesso con il nuovo utente dopo averlo reso membro dei gruppi di amministratori? Il suo token di accesso non cambierà per la durata della sessione corrente su quella macchina
Mathias R. Jessen
@TheCleaner: questi sono i gruppi di cui è membro: Everyone, NT AUTHORITY \ Account locale e membro del gruppo Administrators, BULTIN \ Administrators, BUILTIN \ Users, NT AUTHORITY \ REMOTE INTERACTIVE LOGON, NT AUTHORITY \ INTERACTIVE, NT AUTHORITY \ Authenticated Users , NT AUTHORITY \ Questa organizzazione, NT AUTHORITY \ Account locale, LOCAL, NT AUTHORITY \ NTLM Authentication, Etichetta obbligatoria \ Livello obbligatorio medio
Maarten
Non essendo su un dominio, mi chiedo se sia un problema di controllo dell'account utente. Se disabiliti UAC (User Account Control) sul server, allora funziona? social.technet.microsoft.com/wiki/contents/articles/…
TheCleaner
Il problema dei diritti (esempio 1) sembra essere OK dopo aver disabilitato l'UAC. L'IE ESC è ancora un problema.
Maarten,

Risposte:

18

Ciò potrebbe essere causato dal controllo dell'account utente , una funzione (odiata da molti) che fa sì che, anche se si dispone di diritti amministrativi, in realtà non li si possiede a meno che non si richiedano esplicitamente. Esistono due criteri distinti che regolano il comportamento del Controllo account utente (entrambi disponibili in Computer settings\Windows settings\Security settings\Local policies\Security options), uno per l' Administratoraccount integrato e un altro per tutti gli altri utenti amministrativi:

  • Controllo dell'account utente: modalità di approvazione dell'amministratore per l'account amministratore incorporato (disabilitato per impostazione predefinita)
  • Controllo dell'account utente: esegui tutti gli amministratori in modalità Approvazione amministratore (abilitata per impostazione predefinita)

Ciò significa che: per impostazione predefinita, l' Administratoraccount utente incorporato non è interessato dal Controllo account utente, mentre tutti gli altri utenti amministrativi lo sono ; pertanto, è possibile che un utente amministrativo (diverso da quello incorporato Administrator) non disponga effettivamente dei diritti amministrativi, anche se è un membro del Administratorsgruppo.

Maggiori informazioni qui .

Massimo
fonte
La disabilitazione della seconda impostazione ha risolto il problema per me su Windows 10. Puoi spiegare perché questa impostazione esiste? Qual è il punto di avere un gruppo di amministratori se i membri di quel gruppo non hanno accesso a nessuna delle autorizzazioni di quel gruppo per impostazione predefinita?
Mordred,
1
Il punto è (presumibilmente) che UAC impedisce agli utenti con diritti amministrativi di spararsi accidentalmente in piedi, perché devono esplicitamente richiedere al sistema di concedere loro i privilegi che dovrebbero avere (usando "Esegui come amministratore" all'avvio di un programma).
Massimo
1
Tuttavia, l'implementazione è così instabile (ad esempio se non è possibile utilizzare "Esegui come amministratore" in Esplora risorse perché è sempre in esecuzione e non è possibile avviarne un'altra istanza con diritti elevati) che la maggior parte degli utenti esperti finisce per disabilitare completamente l'UAC , al fine di poter effettivamente utilizzare il proprio computer.
Massimo
2
Controllo dell'account utente esiste da Windows Vista, ma è anche peggio in Windows 8 e versioni successive (incluso 10), perché la disattivazione di Controllo account utente interrompe effettivamente l'esecuzione di app Metro / Modern: per qualche ragione inconoscibile, sembrano effettivamente aver bisogno di Controllo account utente, e non si avviano nemmeno se UAC è disabilitato.
Massimo
1

Ho avuto una situazione simile e l'ho risolto seguendo i passaggi di http://clintboessen.blogspot.com/2013/05/you-dont-currently-have-permission-to.html (che sono per una situazione diversa). Questo è quello che avevo e quello che ho fatto:

  1. Due computer, nessun dominio Active Directory, uno con Win 8.1 (nome W81 ad esempio), l'altro con Server 2012 (nome w12 ad esempio)
  2. Due utenti locali su w12: [UtenteA] con PasswordA e [UtenteB] con PasswordB. Entrambi appartengono al gruppo locale [Amministratori].
  3. Due utenti locali su w81: [UtenteA] e [UtenteB] con la stessa password A e passwordB degli utenti corrispondenti di w12. Entrambi appartengono al gruppo locale [Amministratori].
  4. Condivido una cartella su w12: a. Nome condivisione: Temp1 $ b. Autorizzazioni di condivisione: [Everyone], Controllo completo c. Autorizzazioni NTFS: [Amministratori], Controllo completo. Nessun altro gruppo dispone delle autorizzazioni NTFS qui
  5. Effettuato l'accesso a W12 come [UtenteA], provo ad accedere alla condivisione utilizzando UNC \ w12 \ Temp1 $. Viene visualizzato un errore che dice che non ho accesso. La condivisione è stata trovata. Solo nessun accesso.
  6. Effettuato l'accesso su W81 come [UserB], provo ad accedere alla condivisione utilizzando UNC \ w12 \ Temp1 $. Ho fatto lo stesso errore. IL RESTAURO w12 NON AIUTA.
  7. Se aggiungo [UtenteA] e [UtenteB] esplicitamente alle autorizzazioni NTFS, ora hanno accesso alla condivisione usando i passaggi 5 e 6.
  8. Ho eseguito GPEdit.msc su w12, sono andato a:

Configurazione computer -> Impostazioni di Windows -> Impostazioni di sicurezza -> Criteri locali -> Opzioni di sicurezza

e utilizzato le impostazioni per i consigli n. 1 e n. 3:

N. 1, Controllo account utente: Modalità di approvazione amministratore per l'account amministratore incorporato: disabilitato. # 3, Controllo account utente: esegui tutti gli amministratori in modalità Approvazione amministratore: disabilitato.

E non toccato # 2: # 2, Controllo dell'account utente: Comportamento della richiesta di elevazione per gli amministratori in modalità Approvazione amministratore: Richiedi il consenso per i binari non Windows

  1. Riavviata la macchina e la situazione non si è più verificata.
Jelgab
fonte
1
L'autorizzazione ad accedere alla condivisione (autorizzazione di condivisione) non è uguale all'autorizzazione ad accedere a un file (autorizzazione NTFS). Sono e dovrebbero essere separati.
artifex,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.