Windows 10: Administrator domeny AD z brakującymi prawami?

11

Może mój tytuł jest nieprawidłowy, ale nie wiedziałbym, jak inaczej nazwać go w tym momencie.

Jeśli zaloguję się do komputera z systemem Windows 10 przy użyciu głównego konta administratora domeny AD, podczas wprowadzania aplikacji ustawień języka pojawia się komunikat o błędzie.

(Mój system Windows jest w innym języku, więc nie jest to ciąg znaków w języku angielskim, ale tylko moje tłumaczenie :)

  c:\windows\system32\SystemSettingsAdminFlows.exe   
  Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item.

Wygląda na to, że mogę dobrze wprowadzić zmiany, nawet je zapisać, po prostu klikam komunikat o błędzie przynajmniej 5-6 razy.

Ten problem nie pojawia się, gdy loguję się za pomocą lokalnego konta administratora na tym samym komputerze.

Sprawdziłem lokalną grupę administracyjną, administrator domeny AD jest jej częścią. I naprawdę mogę zrobić prawie wszystko inaczej.

Nie mogę tu nawet zadać dobrego pytania, chciałbym tylko zrozumieć, co się dzieje i jeśli coś pominąłem w konfiguracji.

Aktualizacja: 

C:\Users\Administrator>icacls c:\windows\System32\SystemSettingsAdminFlows.exe
c:\windows\System32\SystemSettingsAdminFlows.exe NT SERVICE\TrustedInstaller:(F)
                                                 VORDEFINIERT\Administratoren:(RX)
                                                 NT-AUTORITÄT\SYSTEM:(RX)
                                                 VORDEFINIERT\Benutzer:(RX)
                                                 ZERTIFIZIERUNGSSTELLE FÜR ANWENDUNGSPAKETE\ALLE ANWENDUNGSPAKETE:(RX)

1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.

C:\Users\Administrator>whoami /groups

GRUPPENINFORMATIONEN
--------------------

Gruppenname                                          Typ             SID                                           Attribute
==================================================== =============== ============================================= ================================================================================
Jeder                                                Bekannte Gruppe S-1-1-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Benutzer                                Alias           S-1-5-32-545                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Administratoren                         Alias           S-1-5-32-544                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer
NT-AUTORITÄT\INTERAKTIV                              Bekannte Gruppe S-1-5-4                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
KONSOLENANMELDUNG                                    Bekannte Gruppe S-1-2-1                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Authentifizierte Benutzer               Bekannte Gruppe S-1-5-11                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Diese Organisation                      Bekannte Gruppe S-1-5-15                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
LOKAL                                                Bekannte Gruppe S-1-2-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Group Policy Creator Owners                   Gruppe          S-1-5-21-1731680816-2417063338-1172291106-520 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Denied RODC Password Replication Group        Alias           S-1-5-21-1731680816-2417063338-1172291106-572 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Enterprise Admins                             Gruppe          S-1-5-21-1731680816-2417063338-1172291106-519 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Schema Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-518 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Domain Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-512 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe Bezeichnung     S-1-16-12288
active-directory samba4 windows-10 ofiara
źródło
Czy możesz dołączyć dane wyjściowe icacls c:\windows\system32\SystemSettingsAdminFlows.exei whoami /groups?
Greg Askew,
Zaktualizowałem swoje pytanie, aby uwzględnić tę informację. Jest w języku niemieckim, ale większość z nich będzie zrozumiała. „Vordefiniert” oznacza „wstępnie zdefiniowany”, prawdopodobnie przetłumaczony jako „wbudowany”.
vic
Te uprawnienia i członkostwo w grupie Administratorów wyglądają dobrze. Jaką masz wersję (uruchom verkomendę)? Możesz także spróbować usunąć profil dla tego konta i zalogować się ponownie i uruchomić je.
Greg Askew,
Ver to 10.0.10240. Właśnie dołączyłem do nowo wdrożonego komputera Win10 do domeny i zalogowałem się za pomocą konta administratora (domeny). Ten sam problem tam.
vic
Czy dzieje się to podczas nowej instalacji systemu Windows bez zainstalowanych aplikacji?
Greg Askew,

Odpowiedzi:

18

Wygląda na to, że jest to problem między „Kontrola konta użytkownika” a kontem „Wbudowany administrator”. Miałem ten sam problem i to działało dla mnie:

  1. Win + R i wpisz „secpol.msc”, aby otworzyć konsolę lokalnych zasad bezpieczeństwa.
  2. W drzewie Ustawienia zabezpieczeń otwórz Zasady lokalne> Opcje bezpieczeństwa.
  3. Znajdź zasadę: Kontrola konta użytkownika: Tryb zatwierdzania przez administratora dla wbudowanego konta administratora i włącz go.
  4. Wyloguj się - zaloguj się, voilá!
HEDMON
źródło
Hej, to załatwiło sprawę. Po prostu kolejna rzecz, która tak naprawdę nie ma sensu, ale rozwiązuje problem. Jak o tym pomyślałeś, czy korzystałeś z oficjalnych źródeł?
vic
2
Jeśli znajdziesz go ponownie, nie zapomnij dodać go do swojej odpowiedzi. Chciałbym to zrozumieć bardziej szczegółowo. Ale w każdym razie dzięki! :)
vic
2
Miałem to samo na świeżo zainstalowanym systemie Windows 2016 Standard i to też mi rozwiązało.
LPChip
1
Myślę, że powodem tego jest to, że niektóre aplikacje nie będą działać w trybie podwyższonego poziomu. Jeśli ta opcja nie jest włączona, wszystkie aplikacje uruchomione przez tego użytkownika są podwyższone. Jeśli ta opcja jest włączona, Kontrola konta użytkownika jest aktywna również dla wbudowanych administratorów (także administratorów domeny), a aplikacje będą działać poprawnie. To sposób, w jaki Microsoft strzela do własnego kolana.
SkyBeam
1
uratowałeś mi dzień! 😃🍻
Dominic Jonas
3

Właśnie miałem ten problem na kilku komputerach, którymi administruję. W przypadku, gdy pomaga każdemu:

  1. Komputery zbudowane od podstaw z systemem Windows 10 (wersja edukacyjna) przy użyciu instalacji Lite Touch z serwera Windows - problem nie pojawił się.

  2. Problemem były niektóre (ale nie wszystkie!?) Komputery PC zaktualizowane do systemu Windows 10 (edycja edukacyjna) - dokładnie takie same nośniki źródłowe, jak w przypadku kompilacji LTI - z systemu Windows 8.1. Jedynym możliwym wzorcem, jaki do tej pory widzę, jest to, że komputerami z problemem były Surface Pro 2 - te, które nie wykazały problemu, to Surface Pro 3s - oprócz sterowników / oprogramowania układowego itp. Różnice między dwoma typami, pre -budowa aktualizacji na 2 typach była identyczna, więc wydaje się to bardzo dziwne.

  3. Miałem też kilka aktualizacji z Windows 10 Pro, które nie miały problemu, ale wszystkie były Surface Pro 3 i nie było ich wystarczająco dużo, aby dodać coś przydatnego.

  4. Wiadomość w języku angielskim to:

System Windows nie może uzyskać dostępu do określonego urządzenia, ścieżki lub pliku. Możesz nie mieć odpowiednich uprawnień, aby uzyskać dostęp do elementu.

  1. Zamiast używać lokalnych zasad bezpieczeństwa na poszczególnych komputerach, możesz użyć zasad grupy domeny - to samo ustawienie zasad, w obszarze Konfiguracja komputera / Zasady / Ustawienia systemu Windows / Ustawienia zabezpieczeń / Zasady lokalne / Opcje zabezpieczeń - które wydają się to naprawić.
David Nutting
źródło
Po prostu nie rób trybu zatwierdzania uac Amin w swoim środowisku, otwiera ogromną lukę bezpieczeństwa.
Jim B
Muszę powiedzieć, że staram się to zrozumieć. Włączone wygląda na to, że powinno być WIĘCEJ restrykcyjne? Wyjaśnienie zasady: „To ustawienie zasad kontroluje zachowanie trybu zatwierdzania przez administratora dla wbudowanego konta administratora. Dostępne są następujące opcje: • Włączone: wbudowane konto administratora używa trybu zatwierdzania przez administratora. Domyślnie każda operacja, która wymaga podniesienie uprawnień spowoduje wyświetlenie monitu o zatwierdzenie operacji. • Wyłączone: (Domyślnie) Wbudowane konto administratora uruchamia wszystkie aplikacje z pełnymi uprawnieniami administracyjnymi. ”
David Nutting
@ Jim B, czy możesz podać więcej informacji na temat ryzyka związanego z tym rozwiązaniem? Tak samo jak @ David Nutting, znalazłem rozwiązanie, ale nie rozumiem w 100%, dlaczego tak się dzieje. Moim zdaniem jest to błąd systemu Windows, ale znowu nie jestem do końca pewien.
HEDMON
-2

Jeśli zdefiniujesz użytkownika z Administratorem bezpośrednio w panelu kontrolnym / kontach użytkowników PRZED zalogowaniem się po raz pierwszy, nowy aplet Win10 działa ...

Patchman
źródło
Nie jestem pewien, czy podążam. Mam konto lokalne z uprawnieniami administratora. Użyłem go do instalacji.
ofiara