Benutzer in der Gruppe Administratoren haben nicht die gleichen Rechte wie Administrator (Win 2012 R2)

10

Ich habe einen Benutzeradministrator erstellt und diesen Benutzer in die Administratorgruppen eingefügt (lokal, es gibt keine AD). Dieser Administrator hat jedoch nicht die gleichen Rechte wie der Administrator.

Beispiel 1: Eine Datei gehört SYSTEM und die Administratorgruppe hat die volle Kontrolle. Wenn ich versuche, dieser Datei Berechtigungen für einen Benutzer hinzuzufügen, funktioniert dies für den Administrator nicht. Mit dem Administrator funktioniert das problemlos.

Beispiel 2: Die erweiterte IE-Sicherheitskonfiguration ist für Administratoren auf AUS und für Benutzer auf EIN gesetzt. Für den Administrator ist dies in Ordnung, für den Administrator ist es noch aktiviert.

Ist das ein Konfigurationsproblem? Wenn ja, was muss ich tun, um es richtig zu machen?

permissions windows-server-2012-r2 users Maarten
quelle
1
Dies sollte sich nicht so verhalten. Stellen Sie sicher, dass sich dieses lokale Konto wirklich in der Gruppe der lokalen Administratoren befindet. Während Sie mit diesem Benutzer angemeldet sind, können Sie ausführen WHOAMI /GROUPS /FO LIST, um zu überprüfen, ob er wirklich zu den richtigen Gruppen gehört.
TheCleaner
5
Haben Sie sich mit dem neuen Benutzer abgemeldet und wieder angemeldet, nachdem Sie ihn zu einem Mitglied der Administratorgruppen gemacht haben? Sein Zugriffstoken wird sich während der gesamten Lebensdauer der aktuellen Sitzung auf diesem Computer nicht ändern
Mathias R. Jessen,
@TheCleaner: Dies sind die Gruppen, in denen er Mitglied ist: Jeder, NT-AUTORITÄT \ Lokales Konto und Mitglied der Gruppe Administratoren, BULTIN \ Administratoren, BUILTIN \ Benutzer, NT-AUTORITÄT \ REMOTE INTERACTIVE LOGON, NT-AUTHORITY \ INTERACTIVE, NT-AUTHORITY \ Authentifizierte Benutzer , NT-BEHÖRDE \ Diese Organisation, NT-BEHÖRDE \ Lokales Konto, LOKAL, NT-BEHÖRDE \ NTLM-Authentifizierung, Obligatorisches Label \ Mittlere Obligatorische Stufe
Maarten
Da es sich nicht um eine Domain handelt, frage ich mich, ob es sich um ein UAC-Problem handelt. Wenn Sie UAC (User Account Control) auf dem Server deaktivieren, funktioniert es dann? social.technet.microsoft.com/wiki/contents/articles/…
TheCleaner
Das Rechteproblem (Beispiel 1) scheint nach dem Deaktivieren der Benutzerkontensteuerung in Ordnung zu sein. Der IE ESC ist immer noch ein Problem.
Maarten

Antworten:

17

Dies kann durch die Benutzerkontensteuerung verursacht werden , eine Funktion (die von vielen gehasst wird), mit der Sie selbst dann, wenn Sie über Administratorrechte verfügen, diese nur dann haben, wenn Sie sie ausdrücklich anfordern. Es gibt zwei unterschiedliche Richtlinien für das UAC-Verhalten (beide in Computer settings\Windows settings\Security settings\Local policies\Security options), eine für das integrierte AdministratorKonto und eine für alle anderen Administratorbenutzer:

  • Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto (standardmäßig deaktiviert)
  • Benutzerkontensteuerung: Führen Sie alle Administratoren im Administratorgenehmigungsmodus aus (standardmäßig aktiviert).

Was dies bedeutet , ist: standardmäßig im internen Administratorist Konto nicht von UAC betroffen, während alle anderen administrativen Benutzer sind ; Daher ist es möglich, dass ein Administrator (anders als der integrierte Benutzer Administrator) keine Administratorrechte besitzt, selbst wenn er Mitglied der AdministratorsGruppe ist.

Mehr Infos hier .

Massimo
quelle
Durch Deaktivieren der zweiten Einstellung wurde das Problem unter Windows 10 behoben. Können Sie erklären, warum diese Einstellung vorhanden ist? Was bringt es, eine Administratorgruppe zu haben, wenn Mitglieder dieser Gruppe standardmäßig keinen Zugriff auf die Berechtigungen dieser Gruppe haben?
Mordred
1
Der Punkt ist (angeblich), dass die Benutzerkontensteuerung Benutzer mit Administratorrechten davon abhält, sich versehentlich in die Füße zu schießen, da sie das System explizit auffordern müssen, ihnen die Berechtigungen zu gewähren, die sie haben sollten (beim Starten eines Programms "Als Administrator ausführen").
Massimo
1
Die Implementierung ist jedoch so unübersichtlich (z. B. können Sie im Windows Explorer nicht "Als Administrator ausführen" verwenden, da sie immer ausgeführt wird und Sie keine andere Instanz mit erhöhten Rechten starten können), sodass die meisten Hauptbenutzer die Benutzerkontensteuerung nur vollständig deaktivieren , um ihren Computer tatsächlich benutzen zu können.
Massimo
2
UAC ist seit Windows Vista um, aber es ist noch schlimmer in Windows 8 und höher (einschließlich 10), weil das Deaktivieren UAC effektiv stoppt Metro / Moderne Anwendungen von überhaupt ausgeführt wird : aus irgendeinem unerkennbar Grund, sie scheinen tatsächlich brauchen UAC zu laufen, und sie starten nicht einmal, wenn die Benutzerkontensteuerung deaktiviert ist.
Massimo
1

Ich hatte eine ähnliche Situation und habe sie gemäß den Schritten von http://clintboessen.blogspot.com/2013/05/you-dont-currently-have-permission-to.html behoben (die für eine andere Situation gelten). Das hatte ich und was ich tat:

  1. Zwei Computer, keine Active Directory-Domäne, einer mit Win 8.1 (z. B. Name W81), der andere mit Server 2012 (z. B. Name w12)
  2. Zwei lokale Benutzer auf w12: [BenutzerA] mit PasswortA und [BenutzerB] mit PasswortB. Beide gehören zur lokalen Gruppe [Administratoren].
  3. Zwei lokale Benutzer auf w81: [UserA] und [UserB] mit demselben PasswortA und PasswortB wie die entsprechenden Benutzer von w12. Beide gehören zur lokalen Gruppe [Administratoren].
  4. Ich teile einen Ordner auf w12: a. Freigabename: Temp1 $ b. Freigabeberechtigungen: [Jeder], Vollzugriff c. NTFS-Berechtigungen: [Administratoren], Vollzugriff. Keine andere Gruppe verfügt hier über NTFS-Berechtigungen
  5. Auf dem W12 als [UserA] angemeldet, versuche ich, über UNC \ w12 \ Temp1 $ auf die Freigabe zuzugreifen. Ich erhalte die Fehlermeldung, dass ich keinen Zugriff habe. Der Anteil wird gefunden. Nur kein Zugang.
  6. Auf dem W81 als [UserB] angemeldet, versuche ich, über UNC \ w12 \ Temp1 $ auf die Freigabe zuzugreifen. Ich bekomme den gleichen Fehler. WIEDERHOLEN w12 HILFT NICHT.
  7. Wenn ich [UserA] und [UserB] explizit zu den NTFS-Berechtigungen hinzufüge, haben sie jetzt mithilfe der Schritte 5 und 6 Zugriff auf die Freigabe.
  8. Ich lief GPEdit.msc auf w12, ging zu:

Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen

und verwendete die Einstellungen für Empfehlungen Nr. 1 und Nr. 3:

# 1, Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto: Deaktiviert. # 3, Benutzerkontensteuerung: Führen Sie alle Administratoren im Administratorgenehmigungsmodus aus: Deaktiviert.

Und # 2 unberührt gelassen: # 2, Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für Administratoren im Administratorgenehmigungsmodus: Aufforderung zur Zustimmung für Nicht-Windows-Binärdateien

  1. Starten Sie die Maschine neu und die Situation ist nicht wieder aufgetreten.
Jelgab
quelle
1
Die Berechtigung zum Zugriff auf die Freigabe (Freigabeberechtigung) entspricht nicht der Berechtigung zum Zugriff auf eine Datei (NTFS-Berechtigung). Sie sind und sollten getrennt sein.
Artifex