Windows 10: администратор домена AD с отсутствующими правами?

11

Возможно, мой заголовок не верен, но я не знаю, как еще назвать его на данный момент.

Если я захожу на компьютер под управлением Windows 10 с основной учетной записью администратора домена AD, при входе в приложение языковых настроек появляется сообщение об ошибке.

(Моя Windows на другом языке, так что это не настоящая строка на английском языке, а просто мой перевод :)

  c:\windows\system32\SystemSettingsAdminFlows.exe   
  Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item.

Кажется, я могу вносить свои изменения просто отлично, они даже сохраняются, я просто должен нажимать на сообщение об ошибке, по крайней мере, 5-6 раз.

Эта проблема не появляется, когда я вхожу с учетной записью локального администратора на том же компьютере.

Я проверил локальную группу администраторов, администратор домена AD является ее частью. И я действительно могу сделать почти все иначе.

Я даже не могу дать хороший вопрос здесь, я просто хотел бы понять, что происходит, и если я что-то пропустил в конфигурации.

Обновить: 

C:\Users\Administrator>icacls c:\windows\System32\SystemSettingsAdminFlows.exe
c:\windows\System32\SystemSettingsAdminFlows.exe NT SERVICE\TrustedInstaller:(F)
                                                 VORDEFINIERT\Administratoren:(RX)
                                                 NT-AUTORITÄT\SYSTEM:(RX)
                                                 VORDEFINIERT\Benutzer:(RX)
                                                 ZERTIFIZIERUNGSSTELLE FÜR ANWENDUNGSPAKETE\ALLE ANWENDUNGSPAKETE:(RX)

1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.

C:\Users\Administrator>whoami /groups

GRUPPENINFORMATIONEN
--------------------

Gruppenname                                          Typ             SID                                           Attribute
==================================================== =============== ============================================= ================================================================================
Jeder                                                Bekannte Gruppe S-1-1-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Benutzer                                Alias           S-1-5-32-545                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Administratoren                         Alias           S-1-5-32-544                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer
NT-AUTORITÄT\INTERAKTIV                              Bekannte Gruppe S-1-5-4                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
KONSOLENANMELDUNG                                    Bekannte Gruppe S-1-2-1                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Authentifizierte Benutzer               Bekannte Gruppe S-1-5-11                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Diese Organisation                      Bekannte Gruppe S-1-5-15                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
LOKAL                                                Bekannte Gruppe S-1-2-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Group Policy Creator Owners                   Gruppe          S-1-5-21-1731680816-2417063338-1172291106-520 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Denied RODC Password Replication Group        Alias           S-1-5-21-1731680816-2417063338-1172291106-572 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Enterprise Admins                             Gruppe          S-1-5-21-1731680816-2417063338-1172291106-519 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Schema Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-518 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Domain Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-512 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe Bezeichnung     S-1-16-12288
active-directory samba4 windows-10 Vic
источник
Можете ли вы включить вывод icacls c:\windows\system32\SystemSettingsAdminFlows.exeи whoami /groups?
Грег Аскью
Я обновил свой вопрос, чтобы включить эту информацию. Это на немецком языке, но большая часть этого будет говорить само за себя. «Vordefiniert» означает «предварительно определенный», вероятно, переводится как «встроенный».
Вик
Эти разрешения и членство в группе администраторов выглядят нормально. Какая сборка у вас (запустите verкоманду)? Вы также можете попробовать удалить профиль для этой учетной записи и снова войти в систему и запустить ее.
Грег Аскью
Версия 10.0.10240. Я только что присоединился к недавно развернутому компьютеру Win10 к домену и вошел в систему с учетной записью администратора (домена). Та же самая проблема там.
Вик
Это происходит при новой установке Windows без установленных приложений?
Грег Аскью

Ответы:

18

Похоже, это проблема между «контролем учетных записей» и «встроенным администратором». У меня была та же проблема, и это сработало для меня:

  1. Win + R и введите «secpol.msc», чтобы открыть консоль локальной политики безопасности.
  2. В дереве параметров безопасности откройте Локальные политики> Параметры безопасности.
  3. Найдите политику: Контроль учетных записей: режим одобрения администратором для встроенной учетной записи администратора и включите ее.
  4. Выйти - войти, вуаля!
HEDMON
источник
Эй, это сработало. Просто еще одна вещь, которая на самом деле не имеет смысла, но решает проблему. Как вы вообще об этом думаете, обращались ли вы к каким-либо официальным источникам?
Vic
2
Если вы найдете это снова, пожалуйста, не забудьте добавить его в свой ответ, я хотел бы понять это более подробно. Но все равно спасибо! :)
Вик
2
У меня было то же самое на недавно установленном Windows 2016 Standard, и это решило это тоже для меня.
LPChip
1
Я думаю, что причина этого в том, что некоторые приложения не будут работать в повышенном режиме. Если эта опция не включена, все приложения, запускаемые этим пользователем, будут повышены. Если эта опция включена, UAC активен также для встроенных администраторов (также администраторов домена), и приложения будут работать нормально. Это способ Microsoft отстрелить собственное колено.
SkyBeam
1
ты спас мой день! D
Доминик Йонас
3

Просто была эта проблема на нескольких компьютерах, которыми я управляю. На случай, если это кому-нибудь поможет:

  1. ПК, созданные с нуля на Windows 10 (учебная версия) с использованием Lite Touch Installation с сервера Windows - проблема не возникла.

  2. Некоторые (но не все!?) ПК, обновленные до Windows 10 (образовательная версия) - точно такой же исходный носитель, который использовался для сборки LTI - из Windows 8.1, показали проблему. Единственный возможный шаблон, который я могу видеть до сих пор, состоит в том, что ПК с проблемой были Surface Pro 2s - те, которые не проявляли проблемы, были Surface Pro 3s - кроме драйвера / прошивки и т. Д. Различия между этими двумя типами, до Обновления сборки на 2 типа были идентичны, так что это кажется очень странным.

  3. У меня также было несколько обновлений с Windows 10 Pro, у которых не было проблем, но все они были Surface Pro 3s, и их было недостаточно, чтобы добавить что-нибудь полезное.

  4. Английское сообщение:

Windows не может получить доступ к указанному устройству, пути или файлу. У вас могут не быть соответствующих разрешений для доступа к элементу.

  1. Вместо того, чтобы использовать локальную политику безопасности на отдельных компьютерах, вы можете использовать групповую политику домена - тот же параметр политики, в разделе «Конфигурация компьютера / Политики / Параметры Windows / Параметры безопасности / Локальные политики / Параметры безопасности», который, кажется, исправляет это.
Дэвид Наттинг
источник
Только не используйте режим одобрения Uac Amin в вашей среде, это открывает огромную дыру в безопасности.
Джим Б.
Должен сказать, я изо всех сил пытаюсь понять это. Включено выглядит так, как будто оно должно быть более ограничительным? Объяснение политики: «Этот параметр политики управляет поведением режима одобрения администратором для встроенной учетной записи администратора. Варианты: • Включено: встроенная учетная запись администратора использует режим одобрения администратора. По умолчанию любая операция, которая требует повышение привилегий предложит пользователю утвердить операцию. • Отключено: (по умолчанию) Встроенная учетная запись администратора запускает все приложения с полными административными привилегиями. "
Дэвид Наттинг
@ Джим Б, не могли бы вы предоставить больше информации о риске с этим решением? Так же, как @ Дэвид Наттинг, я нашел решение, но я не на 100% понимаю, почему это так. На мой взгляд, это ошибка Windows, но опять же, я не совсем уверен.
ХЕДМОН
-2

Если вы определяете пользователя с правами администратора в панели управления / учетных записях пользователей, ПРЕЖДЕ ЧЕМ вы регистрируетесь с ним впервые, новый апплет Win10 работает ...

Patchman
источник
Я не уверен, что следую. У меня есть локальная учетная запись с правами администратора. Я использовал это, чтобы сделать установку в первую очередь.
Вик