Windows 10: AD Domain Admin mit fehlenden Rechten?

10

Vielleicht ist mein Titel nicht korrekt, aber ich würde an dieser Stelle nicht wissen, wie ich ihn sonst benennen soll.

Wenn ich mich mit dem Hauptadministratorkonto der AD-Domäne bei einem Windows 10-Computer anmelde, wird beim Aufrufen der Spracheinstellungs-App eine Fehlermeldung angezeigt.

(Mein Windows ist in einer anderen Sprache, dies ist also nicht die eigentliche Zeichenfolge in Englisch, sondern nur meine Übersetzung :)

  c:\windows\system32\SystemSettingsAdminFlows.exe   
  Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item.

Es scheint, dass ich meine Änderungen problemlos vornehmen kann, sie werden sogar gespeichert. Ich muss nur mindestens 5-6 Mal auf die Fehlermeldung klicken.

Dieses Problem tritt nicht auf, wenn ich mich mit dem lokalen Administratorkonto auf demselben Computer anmelde.

Ich habe die lokale Administratorgruppe überprüft. Der AD-Domänenadministrator ist Teil davon. Und sonst kann ich so ziemlich alles machen.

Ich kann hier nicht einmal eine gute Frage stellen, ich möchte nur verstehen, was passiert und ob ich etwas in der Konfiguration verpasst habe.

Aktualisieren: 

C:\Users\Administrator>icacls c:\windows\System32\SystemSettingsAdminFlows.exe
c:\windows\System32\SystemSettingsAdminFlows.exe NT SERVICE\TrustedInstaller:(F)
                                                 VORDEFINIERT\Administratoren:(RX)
                                                 NT-AUTORITÄT\SYSTEM:(RX)
                                                 VORDEFINIERT\Benutzer:(RX)
                                                 ZERTIFIZIERUNGSSTELLE FÜR ANWENDUNGSPAKETE\ALLE ANWENDUNGSPAKETE:(RX)

1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.

C:\Users\Administrator>whoami /groups

GRUPPENINFORMATIONEN
--------------------

Gruppenname                                          Typ             SID                                           Attribute
==================================================== =============== ============================================= ================================================================================
Jeder                                                Bekannte Gruppe S-1-1-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Benutzer                                Alias           S-1-5-32-545                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Administratoren                         Alias           S-1-5-32-544                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer
NT-AUTORITÄT\INTERAKTIV                              Bekannte Gruppe S-1-5-4                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
KONSOLENANMELDUNG                                    Bekannte Gruppe S-1-2-1                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Authentifizierte Benutzer               Bekannte Gruppe S-1-5-11                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Diese Organisation                      Bekannte Gruppe S-1-5-15                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
LOKAL                                                Bekannte Gruppe S-1-2-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Group Policy Creator Owners                   Gruppe          S-1-5-21-1731680816-2417063338-1172291106-520 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Denied RODC Password Replication Group        Alias           S-1-5-21-1731680816-2417063338-1172291106-572 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Enterprise Admins                             Gruppe          S-1-5-21-1731680816-2417063338-1172291106-519 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Schema Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-518 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Domain Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-512 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe Bezeichnung     S-1-16-12288
active-directory samba4 windows-10 vic
quelle
Können Sie die Ausgabe von icacls c:\windows\system32\SystemSettingsAdminFlows.exeund einschließen whoami /groups?
Greg Askew
Ich habe meine Frage aktualisiert, um diese Informationen aufzunehmen. Es ist auf Deutsch, aber das meiste wird selbsterklärend sein. "Vordefiniert" bedeutet "Pre-Defined", wahrscheinlich übersetzt als "Builtin".
vic
Diese Berechtigungen und die Mitgliedschaft in der Administratorgruppe sehen in Ordnung aus. Welchen Build haben Sie (führen Sie den verBefehl aus)? Möglicherweise möchten Sie auch versuchen, das Profil für dieses Konto zu löschen und sich erneut anzumelden und auszuführen.
Greg Askew
Ver ist 10.0.10240. Ich habe gerade einen neu bereitgestellten Win10-Computer mit der Domäne verbunden und mich mit dem (Domänen-) Administratorkonto angemeldet. Gleiches Problem dort.
Vic
Kommt es bei einer neuen Windows-Installation ohne installierte Anwendungen vor?
Greg Askew

Antworten:

17

Es scheint ein Problem zwischen der Benutzerkontensteuerung und dem integrierten Administratorkonto zu sein. Ich hatte das gleiche Problem und das hat bei mir funktioniert:

  1. Win + R und geben Sie 'secpol.msc' ein, um die Konsole für lokale Sicherheitsrichtlinien zu öffnen.
  2. Öffnen Sie in der Struktur Sicherheitseinstellungen Lokale Richtlinien> Sicherheitsoptionen.
  3. Suchen Sie die Richtlinie: Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto und aktivieren Sie sie.
  4. Abmelden - einloggen, voilá!
HEDMON
quelle
Hey, das hat den Trick gemacht. Nur eine andere Sache, die nicht wirklich Sinn macht, aber das Problem löst. Wie haben Sie überhaupt daran gedacht, haben Sie offizielle Quellen konsultiert?
Vic
Wirklich, ich erinnere mich nicht, wie ich es gefunden habe, aber ich habe ein paar Tage gebraucht;) Ich denke, es war etwas in Technet, das mich auf den richtigen Weg gebracht hat. Und ja, das macht nicht nur keinen Sinn, ich verstehe auch nicht, warum MS etwas so Einfaches nicht lösen kann?!
HEDMON
2
Wenn Sie es wiederfinden, vergessen Sie bitte nicht, es Ihrer Antwort hinzuzufügen. Ich würde dies gerne genauer verstehen. Aber trotzdem danke! :)
Vic
2
Ich hatte das gleiche auf einem frisch installierten Windows 2016 Standard, und dies löste es auch für mich.
LPChip
1
du hast meinen Tag gerettet! 😃🍻
Dominic Jonas
3

Hatte gerade dieses Problem auf einigen Computern, die ich verwalte. Falls es jemandem hilft:

  1. Mit Windows 10 (Education Edition) von Grund auf neu erstellte PCs mit Lite Touch-Installation vom Windows-Server - das Problem trat nicht auf.

  2. Einige (aber nicht alle!?) PCs, die von Windows 8.1 auf Windows 10 (Education Edition) aktualisiert wurden - genau die gleichen Quellmedien wie für den LTI-Build - zeigten das Problem. Das einzig mögliche Muster, das ich bisher sehen kann, ist, dass die PCs mit dem Problem die Surface Pro 2s waren - diejenigen, die das Problem nicht aufwiesen, waren Surface Pro 3s - abgesehen von Treiber- / Firmware- usw. Unterschieden zwischen den beiden Typen, dem Pre -Upgrade-Builds auf den beiden Typen waren identisch, daher fühlt sich das sehr seltsam an.

  3. Ich hatte auch ein paar Upgrades von Windows 10 Pro, die kein Problem hatten, aber alle waren Surface Pro 3s und es gab nicht genug davon, um etwas Nützliches hinzuzufügen.

  4. Die englische Nachricht lautet:

Windows kann nicht auf das angegebene Gerät, den angegebenen Pfad oder die angegebene Datei zugreifen. Möglicherweise verfügen Sie nicht über die entsprechenden Berechtigungen für den Zugriff auf das Element.

  1. Anstatt lokale Sicherheitsrichtlinien auf einzelnen Computern zu verwenden, können Sie Domänengruppenrichtlinien verwenden - dieselbe Richtlinieneinstellung unter Computerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Lokale Richtlinien / Sicherheitsoptionen -, um dies zu beheben.
David Nutting
quelle
Führen Sie den uac Amin-Genehmigungsmodus in Ihrer Umgebung nur nicht aus, da dies eine große Sicherheitslücke öffnet.
Jim B
Ich muss sagen, ich habe Mühe, das zu verstehen. Aktiviert sieht aus, als ob es restriktiver sein sollte? Die Erläuterung der Richtlinie lautet: "Diese Richtlinieneinstellung steuert das Verhalten des Administratorgenehmigungsmodus für das integrierte Administratorkonto. Folgende Optionen stehen zur Verfügung: • Aktiviert: Das integrierte Administratorkonto verwendet den Administratorgenehmigungsmodus. Standardmäßig alle erforderlichen Vorgänge Durch Erhöhen der Berechtigung wird der Benutzer aufgefordert, den Vorgang zu genehmigen. • Deaktiviert: (Standard) Das integrierte Administratorkonto führt alle Anwendungen mit vollen Administratorrechten aus. "
David Nutting
@ Jim B, können Sie bitte weitere Informationen zum Risiko dieser Lösung bereitstellen? Genau wie bei @ David Nutting habe ich die Lösung gefunden, aber ich verstehe nicht zu 100%, warum das so ist. Aus meiner Sicht ist es ein Windows-Fehler, aber ich bin mir auch nicht ganz sicher.
Hedmond
-2

Wenn Sie einen Benutzer mit Administratorrecht in Kontrollbereichs- / Benutzerkonten definieren, BEVOR Sie sich zum ersten Mal damit anmelden, funktioniert das neue Win10-Applet ...

Patchman
quelle
Ich bin mir nicht sicher, ob ich folge. Ich habe ein lokales Konto mit Administratorrechten. Ich habe es benutzt, um die Installation überhaupt erst zu machen.
Vic