Windows 10: Admin Domain AD dengan hak yang hilang?

11

Mungkin judul saya tidak benar tetapi saya tidak tahu lagi bagaimana cara menyebutkannya pada saat ini.

Jika saya masuk ke mesin Windows 10 dengan Akun Admin Domain AD utama, saya mendapatkan pesan kesalahan saat memasuki aplikasi pengaturan bahasa.

(Windows saya dalam bahasa lain jadi ini bukan string sebenarnya dalam bahasa Inggris tetapi hanya terjemahan saya :)

  c:\windows\system32\SystemSettingsAdminFlows.exe   
  Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item.

Sepertinya saya bisa melakukan perubahan baik-baik saja, mereka bahkan diselamatkan, saya hanya perlu terus mengklik pesan kesalahan, setidaknya 5-6 kali.

Masalah ini tidak muncul ketika saya masuk dengan akun admin lokal di mesin yang sama.

Saya memeriksa Grup Admin lokal, Admin Domain AD adalah bagian darinya. Dan saya benar-benar dapat melakukan hampir semua hal sebaliknya.

Saya bahkan tidak bisa memberikan pertanyaan yang bagus di sini, saya hanya ingin memahami apa yang terjadi dan jika saya melewatkan sesuatu dalam konfigurasi.

Memperbarui: 

C:\Users\Administrator>icacls c:\windows\System32\SystemSettingsAdminFlows.exe
c:\windows\System32\SystemSettingsAdminFlows.exe NT SERVICE\TrustedInstaller:(F)
                                                 VORDEFINIERT\Administratoren:(RX)
                                                 NT-AUTORITÄT\SYSTEM:(RX)
                                                 VORDEFINIERT\Benutzer:(RX)
                                                 ZERTIFIZIERUNGSSTELLE FÜR ANWENDUNGSPAKETE\ALLE ANWENDUNGSPAKETE:(RX)

1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.

C:\Users\Administrator>whoami /groups

GRUPPENINFORMATIONEN
--------------------

Gruppenname                                          Typ             SID                                           Attribute
==================================================== =============== ============================================= ================================================================================
Jeder                                                Bekannte Gruppe S-1-1-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Benutzer                                Alias           S-1-5-32-545                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Administratoren                         Alias           S-1-5-32-544                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer
NT-AUTORITÄT\INTERAKTIV                              Bekannte Gruppe S-1-5-4                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
KONSOLENANMELDUNG                                    Bekannte Gruppe S-1-2-1                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Authentifizierte Benutzer               Bekannte Gruppe S-1-5-11                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Diese Organisation                      Bekannte Gruppe S-1-5-15                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
LOKAL                                                Bekannte Gruppe S-1-2-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Group Policy Creator Owners                   Gruppe          S-1-5-21-1731680816-2417063338-1172291106-520 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Denied RODC Password Replication Group        Alias           S-1-5-21-1731680816-2417063338-1172291106-572 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Enterprise Admins                             Gruppe          S-1-5-21-1731680816-2417063338-1172291106-519 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Schema Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-518 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Domain Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-512 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe Bezeichnung     S-1-16-12288
active-directory samba4 windows-10 vic
sumber
Bisakah Anda memasukkan output dari icacls c:\windows\system32\SystemSettingsAdminFlows.exedan whoami /groups?
Greg Askew
Saya memperbarui pertanyaan saya untuk memasukkan informasi ini. Ini dalam bahasa Jerman tetapi sebagian besar akan jelas. "Vordefiniert" berarti "Pra-Didefinisikan", mungkin diterjemahkan sebagai "Builtin".
vic
Izin itu dan keanggotaan grup Administrator tampak ok. Membangun apa yang Anda miliki (jalankan verperintah)? Anda mungkin juga ingin mencoba menghapus profil untuk akun itu dan mencoba masuk lagi dan menjalankannya.
Greg Askew
Ver adalah 10.0.10240. Saya baru saja bergabung dengan komputer Win10 yang baru digunakan untuk domain dan login dengan akun Administrator (Domain). Masalah yang sama di sana.
vic
Apakah itu terjadi pada instalasi Windows baru tanpa aplikasi yang diinstal?
Greg Askew

Jawaban:

18

Sepertinya itu adalah masalah antara 'Kontrol Akun Pengguna' dan akun 'Administrator Internal'. Saya memiliki masalah yang sama dan ini berhasil untuk saya:

  1. Menangkan + R dan ketik 'secpol.msc' untuk membuka konsol Kebijakan Keamanan Lokal.
  2. Di pohon Pengaturan Keamanan, buka Kebijakan Lokal> Opsi Keamanan.
  3. Temukan kebijakan: Kontrol Akun Pengguna: Mode Persetujuan Admin untuk akun Administrator Bawaan dan aktifkan.
  4. Keluar - masuk, voilá!
HEDMON
sumber
Hei, itu berhasil. Hanya hal lain yang tidak masuk akal tetapi menyelesaikan masalah. Bagaimana Anda berpikir tentang itu, apakah Anda berkonsultasi dengan sumber resmi?
vic
2
Jika Anda menemukannya lagi, jangan lupa menambahkannya ke jawaban Anda, saya ingin memahami ini secara lebih rinci. Tapi bagaimanapun, terima kasih! :)
vic
2
Saya memiliki hal yang sama pada Windows 2016 Standard yang baru diinstal, dan ini menyelesaikannya juga untuk saya.
LPChip
1
Saya pikir alasan untuk ini adalah bahwa beberapa Aplikasi tidak akan berjalan dalam mode tinggi. Jika opsi ini tidak diaktifkan, semua aplikasi yang dijalankan oleh pengguna ini meningkat. Jika opsi ini diaktifkan, UAC aktif juga untuk admin bawaan (juga admin domain) dan aplikasi akan berjalan dengan baik. Ini cara Microsoft menembak lutut Anda sendiri.
SkyBeam
1
kamu menyelamatkan hariku! 😃🍻
Dominic Jonas
3

Baru saja mengalami masalah ini pada beberapa komputer yang saya kelola. Dalam hal ini membantu siapa pun:

  1. PC yang dibangun dari awal dengan Windows 10 (edisi pendidikan) menggunakan Instalasi Lite Touch dari server Windows - masalah tidak muncul.

  2. Beberapa (tetapi tidak semua!?) PC yang ditingkatkan ke Windows 10 (edisi pendidikan) - media sumber yang sama persis seperti yang digunakan untuk pembangunan LTI - dari Windows 8.1 menunjukkan masalah. Satu-satunya pola yang mungkin saya bisa lihat sejauh ini adalah bahwa PC dengan masalah adalah Surface Pro 2s - yang tidak menunjukkan masalah adalah Surface Pro 3s - terlepas dari driver / firmware dll. Perbedaan antara 2 jenis, pra -upgrade dibangun pada 2 jenis yang identik, jadi ini terasa sangat aneh.

  3. Saya juga memiliki beberapa peningkatan dari Windows 10 Pro yang tidak memiliki masalah, tetapi semua ini adalah Surface Pro 3s dan tidak ada cukup dari mereka untuk menambahkan sesuatu yang bermanfaat.

  4. Pesan bahasa Inggris adalah:

Windows tidak dapat mengakses perangkat, jalur, atau file yang ditentukan. Anda mungkin tidak memiliki izin yang sesuai untuk mengakses item.

  1. Alih-alih menggunakan kebijakan keamanan lokal pada mesin individual, Anda dapat menggunakan kebijakan grup domain - pengaturan kebijakan yang sama, di bawah Konfigurasi Komputer / Kebijakan / Pengaturan Windows / Pengaturan Keamanan / Kebijakan Lokal / Opsi Keamanan - yang tampaknya memperbaikinya.
David Nutting
sumber
Hanya saja, jangan lakukan mode persetujuan uac Amin di lingkungan Anda, itu membuka lubang keamanan besar.
Jim B
Harus mengatakan aku berjuang untuk memahami hal ini. Diaktifkan terlihat seolah-olah itu harus LEBIH membatasi? Penjelasan kebijakan adalah: "Pengaturan kebijakan ini mengontrol perilaku Mode Persetujuan Admin untuk akun Administrator bawaan. Opsinya adalah: • Diaktifkan: Akun Administrator internal menggunakan Mode Persetujuan Admin. Secara default, operasi apa pun yang memerlukan peningkatan hak istimewa akan meminta pengguna untuk menyetujui operasi. • Dinonaktifkan: (Default) Akun Administrator bawaan menjalankan semua aplikasi dengan hak administratif penuh. "
David Nutting
@ Jim B, bisakah Anda memberikan informasi lebih lanjut tentang risiko dengan solusi ini? Sama seperti @ David Nutting, saya menemukan solusinya, tapi saya tidak mengerti 100% mengapa mereka melakukan ini. Dari pandangan saya, ini adalah bug Windows, tapi sekali lagi, saya tidak yakin sepenuhnya.
HEDMON
-2

Jika Anda menetapkan pengguna dengan Administrator tepat di panel kontrol / akun pengguna SEBELUM Anda login dengannya untuk pertama kali, applet Win10 baru berfungsi ...

Patchman
sumber
Saya tidak yakin saya mengikuti. Saya punya akun lokal dengan hak admin. Saya menggunakannya untuk melakukan instalasi di tempat pertama.
vic