Windows 10: AD Domain Admin con diritti mancanti?

11

Forse il mio titolo non è corretto ma non saprei come altro chiamarlo a questo punto.

Se accedo a un computer Windows 10 con l'account amministratore di dominio AD principale, ricevo un messaggio di errore quando accedo all'app delle impostazioni della lingua.

(Windows è in un'altra lingua, quindi questa non è la stringa effettiva in inglese ma solo la mia traduzione :)

  c:\windows\system32\SystemSettingsAdminFlows.exe   
  Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item.

Sembra che posso apportare le mie modifiche bene, vengono persino salvate, devo solo continuare a fare clic sul messaggio di errore, almeno 5-6 volte.

Questo problema non si verifica quando eseguo l'accesso con l'account amministratore locale sullo stesso computer.

Ho controllato il gruppo di amministratori locali, l'Admin Domain AD ne fa parte. E posso davvero fare praticamente tutto altrimenti.

Non posso nemmeno fornire una buona domanda qui, vorrei solo capire cosa sta succedendo e se ho perso qualcosa nella configurazione.

Aggiornare: 

C:\Users\Administrator>icacls c:\windows\System32\SystemSettingsAdminFlows.exe
c:\windows\System32\SystemSettingsAdminFlows.exe NT SERVICE\TrustedInstaller:(F)
                                                 VORDEFINIERT\Administratoren:(RX)
                                                 NT-AUTORITÄT\SYSTEM:(RX)
                                                 VORDEFINIERT\Benutzer:(RX)
                                                 ZERTIFIZIERUNGSSTELLE FÜR ANWENDUNGSPAKETE\ALLE ANWENDUNGSPAKETE:(RX)

1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.

C:\Users\Administrator>whoami /groups

GRUPPENINFORMATIONEN
--------------------

Gruppenname                                          Typ             SID                                           Attribute
==================================================== =============== ============================================= ================================================================================
Jeder                                                Bekannte Gruppe S-1-1-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Benutzer                                Alias           S-1-5-32-545                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Administratoren                         Alias           S-1-5-32-544                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer
NT-AUTORITÄT\INTERAKTIV                              Bekannte Gruppe S-1-5-4                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
KONSOLENANMELDUNG                                    Bekannte Gruppe S-1-2-1                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Authentifizierte Benutzer               Bekannte Gruppe S-1-5-11                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Diese Organisation                      Bekannte Gruppe S-1-5-15                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
LOKAL                                                Bekannte Gruppe S-1-2-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Group Policy Creator Owners                   Gruppe          S-1-5-21-1731680816-2417063338-1172291106-520 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Denied RODC Password Replication Group        Alias           S-1-5-21-1731680816-2417063338-1172291106-572 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Enterprise Admins                             Gruppe          S-1-5-21-1731680816-2417063338-1172291106-519 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Schema Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-518 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Domain Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-512 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe Bezeichnung     S-1-16-12288
active-directory  samba4  windows-10 
vic
fonte
Puoi includere l'output di icacls c:\windows\system32\SystemSettingsAdminFlows.exee whoami /groups?
Greg Askew,
Ho aggiornato la mia domanda per includere queste informazioni. È in tedesco ma la maggior parte sarà autoesplicativa. "Vordefiniert" significa "predefinito", probabilmente tradotto come "incorporato".
vic
Tali autorizzazioni e l'appartenenza al gruppo di amministratori sembrano a posto. Che build hai (esegui il vercomando)? È inoltre possibile provare a eliminare il profilo per quell'account e provare ad accedere nuovamente ed eseguirlo.
Greg Askew,
Ver è 10.0.10240. Mi sono appena unito a un computer Win10 appena distribuito al dominio e ho effettuato l'accesso con l'account (Dominio) dell'amministratore. Lo stesso problema lì.
vic
Succede su una nuova installazione di Windows senza applicazioni installate?
Greg Askew,

Risposte:

18

Sembra che si tratti di un problema tra "Controllo dell'account utente" e l'account "Amministratore incorporato". Ho avuto lo stesso problema e questo ha funzionato per me:

  1. Win + R e digitare 'secpol.msc' per aprire la console dei criteri di sicurezza locali.
  2. Nella struttura Impostazioni sicurezza, apri Politiche locali> Opzioni di sicurezza.
  3. Trova il criterio: Controllo account utente: Modalità di approvazione amministratore per l'account amministratore incorporato e abilitalo.
  4. Esci - accedi, voilá!
HEDMON
fonte
Ehi, quello ha funzionato. Solo un'altra cosa che non ha davvero senso ma risolve il problema. Come ci hai pensato, hai consultato qualche fonte ufficiale?
vic
2
Se lo trovi di nuovo, ti preghiamo di non dimenticare di aggiungerlo alla tua risposta, vorrei capirlo in modo più dettagliato. Ma comunque grazie! :)
vic
2
Ho avuto la stessa cosa su uno standard di Windows 2016 appena installato e questo ha risolto anche per me.
LPChip,
1
Penso che il motivo sia che alcune app non funzioneranno in modalità elevata. Se questa opzione non è abilitata, tutte le app eseguite da questo utente sono elevate. Se questa opzione è abilitata, UAC è attivo anche per gli amministratori incorporati (anche amministratori di dominio) e le app funzioneranno correttamente. È il modo Microsoft di sparare al tuo ginocchio.
SkyBeam,
1
mi hai salvato la giornata! 😃🍻
Dominic Jonas,
3

Ho appena avuto questo problema su alcuni computer che gestisco. Nel caso in cui aiuti chiunque:

  1. PC creati da zero con Windows 10 (versione Education) utilizzando Lite Touch Installation da server Windows: il problema non si è verificato.

  2. Alcuni PC (ma non tutti!?) Aggiornati a Windows 10 (versione Education) - esattamente gli stessi supporti di origine utilizzati per la build LTI - da Windows 8.1 hanno mostrato il problema. L'unico schema possibile che posso vedere finora è che i PC con il problema erano i Surface Pro 2 - quelli che non presentavano il problema erano i Surface Pro 3 - a parte il driver / firmware ecc. Differenze tra i 2 tipi, il pre le build di aggiornamento sui 2 tipi erano identiche, quindi sembra molto strano.

  3. Ho anche avuto alcuni aggiornamenti da Windows 10 Pro che non hanno avuto problemi, ma tutti questi erano Surface Pro 3 e non ce n'erano abbastanza per aggiungere qualcosa di utile.

  4. Il messaggio inglese è:

Windows non può accedere al dispositivo, al percorso o al file specificati. Potresti non avere le autorizzazioni appropriate per accedere all'elemento.

  1. Invece di utilizzare i criteri di sicurezza locali sui singoli computer, è possibile utilizzare i criteri del gruppo di dominio - stessa impostazione dei criteri, in Configurazione computer / Criteri / Impostazioni di Windows / Impostazioni di sicurezza / Criteri locali / Opzioni di sicurezza - che sembra risolverli.
David Nutting
fonte
Basta non utilizzare la modalità di approvazione UAC Amin nel tuo ambiente, si apre un enorme buco di sicurezza.
Jim B,
Devo dire che sto lottando per dare un senso a questo. Abilitato sembra che dovrebbe essere PIÙ restrittivo? Spiegazione del criterio è: "Questa impostazione di criterio controlla il comportamento della modalità di approvazione dell'amministratore per l'account amministratore incorporato. Le opzioni sono: • Abilitato: l'account dell'amministratore incorporato utilizza la modalità di approvazione amministratore. Per impostazione predefinita, qualsiasi operazione che richiede l'elevazione del privilegio richiederà all'utente di approvare l'operazione. • Disabilitato: (impostazione predefinita) L'account amministratore incorporato esegue tutte le applicazioni con privilegi amministrativi completi. "
David Nutting,
@Jim B, per favore puoi fornire maggiori informazioni sul rischio con questa soluzione? Lo stesso di @ David Nutting, ho trovato la soluzione, ma non capisco al 100% perché di questo. Dal mio punto di vista, è un bug di Windows, ma, di nuovo, non ne sono completamente sicuro.
HEDMON,
-2

Se si definisce un utente con diritto di amministratore nel pannello di controllo / account utente PRIMA di accedere con esso per la prima volta, la nuova applet Win10 funziona ...

PatchMan
fonte
Non sono sicuro di seguire. Ho un account locale con diritti di amministratore. L'ho usato per fare l'installazione in primo luogo.
vic
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.