Użytkownik w grupie Administratorzy nie ma takich samych uprawnień jak Administrator (Win 2012 R2)

10

Utworzyłem administratora użytkownika i umieściłem tego użytkownika w grupach administratorów (lokalnie, nie ma reklam). Ale ten administrator nie ma takich samych uprawnień jak sam administrator.

Przykład 1: plik jest własnością SYSTEM, a grupa administratorów ma pełną kontrolę. Jeśli spróbuję dodać uprawnienia dla użytkownika do tego pliku, nie działa to dla administratora. Z Administratorem działa bez problemu.

Przykład 2: Konfiguracja zwiększonych zabezpieczeń IE jest wyłączona dla administratorów, włączona dla użytkowników. Dla administratora jest to w porządku, dla administratora jest nadal włączone.

Czy to problem z konfiguracją? Jeśli tak, co powinienem zrobić, aby zrobić to dobrze?

Maarten
źródło
1
To nie powinno się tak zachowywać. Upewnij się, że to konto lokalne naprawdę należy do lokalnej grupy Administratorzy. Po zalogowaniu się z tym użytkownikiem możesz uruchomić, WHOAMI /GROUPS /FO LISTaby sprawdzić, czy naprawdę należą do właściwych grup.
TheCleaner
5
Czy wylogowałeś się i ponownie zalogowałeś do nowego użytkownika po tym, jak stał się członkiem grup Administratora? Jego token dostępu nie zmieni się przez cały czas trwania bieżącej sesji na tym komputerze
Mathias R. Jessen
@TheCleaner: są to grupy, do których on należy: Wszyscy, NT AUTHORITY \ Konto lokalne i członek grupy Administrators, BULTIN \ Administrators, BUILTIN \ Users, NT AUTHORITY \ REMOTE INTERACTIVE LOGON, NT AUTHORITY \ INTERACTIVE, NT AUTHORITY \ Authentified Users , NT AUTHORITY \ Ta organizacja, NT AUTHORITY \ Konto lokalne, LOCAL, NT AUTHORITY \ NTLM Uwierzytelnianie, etykieta obowiązkowa \ Średni poziom obowiązkowy
Maarten
Ponieważ nie ma go w domenie, zastanawiam się, czy to jest problem UAC. Jeśli wyłączysz UAC (Kontrola konta użytkownika) na serwerze, czy to zadziała? social.technet.microsoft.com/wiki/contents/articles/…
TheCleaner
Problem z prawami (przykład 1) wydaje się być OK po wyłączeniu UAC. IE ESC nadal stanowi problem.
Maarten

Odpowiedzi:

18

Może to być spowodowane Kontrolą konta użytkownika , funkcją (nienawidzoną przez wielu), która sprawia, że ​​nawet jeśli masz uprawnienia administracyjne, nie masz ich, chyba że wyraźnie o to poprosisz. Istnieją dwie odrębne zasady rządzące zachowaniem UAC (obie znajdują się w Computer settings\Windows settings\Security settings\Local policies\Security options), jedna dla Administratorkonta wbudowanego , a druga dla wszystkich innych użytkowników administracyjnych:

  • Kontrola konta użytkownika: tryb zatwierdzania przez administratora dla wbudowanego konta administratora (domyślnie wyłączone)
  • Kontrola konta użytkownika: uruchom wszystkich administratorów w trybie zatwierdzania przez administratora (domyślnie włączone)

Oznacza to, że: domyślnie na Administratorkonto wbudowane nie ma wpływu Kontrola konta użytkownika, podczas gdy wszyscy inni użytkownicy administracyjni tak ; dlatego użytkownik administracyjny (inny niż wbudowany Administrator) może nie mieć praw administracyjnych, nawet jeśli jest członkiem Administratorsgrupy.

Więcej informacji tutaj .

Massimo
źródło
Wyłączenie drugiego ustawienia rozwiązało problem w systemie Windows 10. Czy możesz wyjaśnić, dlaczego to ustawienie istnieje? Po co mieć grupę Administratorów, jeśli członkowie tej grupy domyślnie nie mają dostępu do żadnego z uprawnień tej grupy?
Mordred,
1
Chodzi o (podobno) to, że UAC powstrzymuje użytkowników z prawami administracyjnymi przed przypadkowym zastrzeleniem się im na nogi, ponieważ muszą jawnie poprosić system o przyznanie im uprawnień, które powinni mieć (używając „uruchom jako administrator” podczas uruchamiania programu).
Massimo
1
Jednak implementacja jest tak niestabilna (na przykład nie można użyć opcji „uruchom jako administrator” w Eksploratorze Windows, ponieważ zawsze działa i nie można uruchomić innej instancji z podwyższonymi uprawnieniami), że większość zaawansowanych użytkowników po prostu całkowicie wyłącza UAC , aby móc faktycznie korzystać z komputera.
Massimo
2
Kontrola konta użytkownika istnieje już od systemu Windows Vista, ale jest jeszcze gorzej w systemie Windows 8 i nowszych (w tym 10), ponieważ wyłączenie UAC skutecznie zatrzymuje w ogóle uruchamianie aplikacji Metro / Modern: z jakiegoś nieznanego powodu wydają się one potrzebować UAC do uruchomienia, i nawet się nie uruchamiają, jeśli UAC jest wyłączony.
Massimo
1

Miałem podobną sytuację i naprawiłem ją, postępując zgodnie z instrukcjami z http://clintboessen.blogspot.com/2013/05/you-dont-currently-have-permission-to.html (które dotyczą innej sytuacji). Oto co miałem i co zrobiłem:

  1. Dwa komputery, brak domeny Active Directory, jeden z Win 8.1 (na przykład nazwa W81), drugi z Server 2012 (na przykład nazwa w12)
  2. Dwóch lokalnych użytkowników na w12: [UżytkownikA] z HasłemA i [UżytkownikB] z HasłemB. Oba należą do grupy lokalnej [Administratorzy].
  3. Dwóch lokalnych użytkowników na w81: [UżytkownikA] i [UżytkownikB] z tym samym hasłemA i hasłemB, co odpowiadający użytkownicy w12. Oba należą do grupy lokalnej [Administratorzy].
  4. Udostępniam folder na w12: a. Nazwa udziału: Temp1 $ b. Uprawnienia do udostępniania: [Wszyscy], Pełna kontrola c. Uprawnienia NTFS: [Administratorzy], Pełna kontrola. Żadna inna grupa nie ma tutaj uprawnień NTFS
  5. Zalogowałem się na W12 jako [UżytkownikA], próbuję uzyskać dostęp do udziału przy użyciu UNC \ w12 \ Temp1 $. Pojawia się błąd informujący, że nie mam dostępu. Udział został znaleziony. Po prostu brak dostępu.
  6. Zalogowałem się na W81 jako [UserB], próbuję uzyskać dostęp do udziału przy użyciu UNC \ w12 \ Temp1 $. Otrzymuję ten sam błąd. RESTARING w12 NIE POMAGA.
  7. Jeśli dodam [UserA] i [UserB] jawnie do uprawnień NTFS, mają oni teraz dostęp do udziału, wykonując kroki 5 i 6.
  8. I Ran GPEdit.msc na w12, poszedłem do:

Konfiguracja komputera -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Zasady lokalne -> Opcje bezpieczeństwa

i zastosował ustawienia dla rekomendacji nr 1 i 3:

# 1, Kontrola konta użytkownika: Tryb zatwierdzania przez administratora dla wbudowanego konta administratora: Wyłączony. # 3, Kontrola konta użytkownika: Uruchom wszystkich administratorów w trybie zatwierdzania przez administratora: Wyłączony.

I pozostawiono # 2 nietknięte: # 2, Kontrola konta użytkownika: Zachowanie monitu o podniesienie uprawnień dla administratorów w trybie zatwierdzania przez administratora: Monituj o zgodę na pliki binarne inne niż Windows

  1. Uruchomiłem ponownie maszynę i sytuacja się nie powtórzyła.
Jelgab
źródło
1
Zezwolenie na dostęp do udziału (pozwolenie na udział) nie jest tym samym, co pozwolenie na dostęp do pliku (pozwolenie NTFS). Są i powinny być oddzielne.
artifex