Pregunta Windows 10: AD Domain Admin con derechos faltantes?


Tal vez mi título no sea correcto, pero no sabría cómo nombrarlo en este momento.

Si inicio sesión en una máquina con Windows 10 con la cuenta principal de administrador de dominio de AD, aparece un mensaje de error al ingresar a la aplicación de configuración de idioma.

(Mi Windows está en otro idioma, por lo que esta no es la cadena real en inglés sino solo mi traducción :)

  c:\windows\system32\SystemSettingsAdminFlows.exe   
  You cannot access this device, path or file. You don't have sufficient priviliges to access this element.

Parece que puedo hacer mis cambios muy bien, incluso se guardan, solo tengo que seguir haciendo clic en el mensaje de error, al menos 5-6 veces.

Este problema no aparece cuando inicio sesión con la cuenta de administrador local en la misma máquina.

Revisé el grupo de administración local, el administrador de dominio de AD forma parte de él. Y realmente puedo hacer casi todo lo contrario.

Ni siquiera puedo dar una buena pregunta aquí, me gustaría entender qué está pasando y si me perdí algo en la configuración.

Actualizar:

C:\Users\Administrator>icacls c:\windows\System32\SystemSettingsAdminFlows.exe
c:\windows\System32\SystemSettingsAdminFlows.exe NT SERVICE\TrustedInstaller:(F)
                                                 VORDEFINIERT\Administratoren:(RX)
                                                 NT-AUTORITÄT\SYSTEM:(RX)
                                                 VORDEFINIERT\Benutzer:(RX)
                                                 ZERTIFIZIERUNGSSTELLE FÜR ANWENDUNGSPAKETE\ALLE ANWENDUNGSPAKETE:(RX)

1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.

C:\Users\Administrator>whoami /groups

GRUPPENINFORMATIONEN
--------------------

Gruppenname                                          Typ             SID                                           Attribute
==================================================== =============== ============================================= ================================================================================
Jeder                                                Bekannte Gruppe S-1-1-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Benutzer                                Alias           S-1-5-32-545                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Administratoren                         Alias           S-1-5-32-544                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer
NT-AUTORITÄT\INTERAKTIV                              Bekannte Gruppe S-1-5-4                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
KONSOLENANMELDUNG                                    Bekannte Gruppe S-1-2-1                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Authentifizierte Benutzer               Bekannte Gruppe S-1-5-11                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Diese Organisation                      Bekannte Gruppe S-1-5-15                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
LOKAL                                                Bekannte Gruppe S-1-2-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Group Policy Creator Owners                   Gruppe          S-1-5-21-1731680816-2417063338-1172291106-520 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Denied RODC Password Replication Group        Alias           S-1-5-21-1731680816-2417063338-1172291106-572 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Enterprise Admins                             Gruppe          S-1-5-21-1731680816-2417063338-1172291106-519 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Schema Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-518 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Domain Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-512 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe Bezeichnung     S-1-16-12288

8
2017-10-25 14:48


origen


¿Puedes incluir la salida de icacls c:\windows\system32\SystemSettingsAdminFlows.exe y whoami /groups ? - Greg Askew
Actualicé mi pregunta para incluir esta información. Está en alemán, pero la mayoría se explicará por sí misma. "Vordefiniert" significa "Predefinido", probablemente traducido como "Incorporado". - vic
Esos permisos y la pertenencia al grupo Administrador se ven bien. ¿Qué compilación tienes? ver mando)? También puede intentar eliminar el perfil de esa cuenta e intentar iniciar sesión nuevamente y ejecutarlo. - Greg Askew
Ver es 10.0.10240. Acabo de unirme a una computadora Win10 recién implementada en el dominio e inicié sesión con la cuenta de administrador (de dominio). El mismo problema allí. - vic
¿Ocurre en una instalación nueva de Windows sin aplicaciones instaladas? - Greg Askew


Respuestas:


Parece que es un problema entre el 'Control de cuentas de usuario' y la cuenta de 'Administrador incorporado'. Tuve el mismo problema y esto me funcionó:

  1. Win + R y escriba 'secpol.msc' para abrir la consola de la Política de seguridad local.
  2. En el árbol de Configuración de seguridad, abra Políticas locales> Opciones de seguridad.
  3. Busque la política: Control de cuentas de usuario: Modo de aprobación de administrador para la cuenta de administrador integrado y habilítelo.
  4. Cerrar sesión - iniciar sesión, voilá!

12
2018-02-19 13:45



Hey, eso hizo el truco. Solo otra cosa que realmente no tiene sentido pero resuelve el problema. ¿Cómo pensaste en eso, consultaste alguna fuente oficial? - vic
Realmente no recuerdo cómo lo encontré, pero me tomó unos días;) Creo que fue algo en Technet que me puso en el camino correcto. Y sí, no solo no tiene sentido, también no entiendo por qué la EM no soluciona algo tan simple. - HEDMON
Si lo encuentra nuevamente, no olvide agregarlo a su respuesta, me gustaría entender esto con más detalle. Pero de todos modos, gracias! :) - vic
Tuve lo mismo en un Windows 2016 Standard recién instalado, y esto también lo resolvió para mí. - LPChip
Creo que la razón de esto es que algunas aplicaciones no se ejecutarán en modo elevado. Si esta opción no está habilitada, todas las aplicaciones ejecutadas por este usuario son elevadas. Si esta opción está habilitada, UAC también está activo para los administradores integrados (también los administradores de dominio) y las aplicaciones funcionarán bien. Es la forma de Microsoft de disparar tu propia rodilla. - SkyBeam


Acabo de tener este problema en algunas computadoras que administro. En caso de que ayude a alguien:

  1. PC creadas desde cero con Windows 10 (edición educativa) mediante la instalación de Lite Touch desde el servidor Windows: el problema no se presentó.

  2. Algunas PC (¿pero no todas?) Actualizadas a Windows 10 (edición educativa) - exactamente los mismos medios de origen que se usaron para la compilación LTI - desde Windows 8.1 presentaron el problema. El único patrón posible que puedo ver hasta ahora es que las PC con el problema eran las Surface Pro 2, las que no mostraban el problema eran las Surface Pro 3, aparte de las diferencias entre el controlador y el firmware, etc. - las compilaciones de actualización en los 2 tipos eran idénticas, por lo que se siente muy extraño.

  3. También tuve algunas actualizaciones de Windows 10 Pro que no tenían ningún problema, pero todas estas eran Surface Pro 3 y no había suficientes para agregar nada útil.

  4. El mensaje en inglés es:

Windows no puede acceder al dispositivo, ruta o archivo especificado. Tú quizás no   Tener los permisos adecuados para acceder al artículo.

  1. En lugar de usar la política de seguridad local en máquinas individuales, puede usar la política de grupo de dominios (la misma configuración de políticas) en Configuración de la computadora / Políticas / Configuración de Windows / Configuración de seguridad / Políticas locales / Opciones de seguridad, que parece solucionarlo.

3
2017-07-09 20:43



Simplemente no hagas el modo de aprobación uac Amin en tu entorno, se abre un enorme agujero de seguridad. - Jim B
Tengo que decir que estoy luchando para dar sentido a esto. Habilitado parece que debería ser más restrictivo? La explicación de la política es: "Esta configuración de política controla el comportamiento del Modo de aprobación de administrador para la cuenta de administrador integrada. Las opciones son: • Habilitado: La cuenta de administrador integrada utiliza el Modo de aprobación de administrador. De forma predeterminada, cualquier operación que requiera la elevación de privilegios solicitará al usuario que apruebe la operación. • Desactivado: (Predeterminado) La cuenta de administrador integrada ejecuta todas las aplicaciones con el privilegio administrativo completo ". - David Nutting
@Jim B, ¿puede proporcionar más información sobre el riesgo con esta solución? Al igual que en @Datten Nutting, encontré la solución, pero no entiendo el 100% de por qué. Desde mi punto de vista, es un error de Windows, pero nuevamente, no estoy completamente seguro. - HEDMON


Si define un usuario con derecho de administrador en el panel de control / cuentas de usuario ANTES de iniciar sesión con él por primera vez, el nuevo applet de Win10 funciona ...


-2
2017-10-28 10:12



No estoy seguro de seguir. Tengo una cuenta local con derechos de administrador. Lo usé para hacer la instalación en primer lugar. - vic