Windows 10: administrador do domínio AD com direitos ausentes?

11

Talvez meu título não esteja correto, mas eu não saberia mais como nomeá-lo neste momento.

Se eu entrar em uma máquina Windows 10 com a conta principal de administrador do domínio do AD, recebo uma mensagem de erro ao entrar no aplicativo de configurações de idioma.

(Meu Windows está em outro idioma, portanto, essa não é a string real em inglês, mas apenas minha tradução :)

  c:\windows\system32\SystemSettingsAdminFlows.exe   
  Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item.

Parece que posso fazer minhas alterações muito bem, elas até são salvas, só preciso continuar clicando na mensagem de erro, pelo menos 5 a 6 vezes.

Esse problema não aparece quando eu faço login com a conta de administrador local na mesma máquina.

Eu verifiquei o grupo de administradores local, o administrador do domínio do AD faz parte dele. E eu realmente posso fazer praticamente tudo de outra maneira.

Eu não posso nem fornecer uma boa pergunta aqui, eu gostaria de entender o que está acontecendo e se eu perdi alguma coisa na configuração.

Atualizar: 

C:\Users\Administrator>icacls c:\windows\System32\SystemSettingsAdminFlows.exe
c:\windows\System32\SystemSettingsAdminFlows.exe NT SERVICE\TrustedInstaller:(F)
                                                 VORDEFINIERT\Administratoren:(RX)
                                                 NT-AUTORITÄT\SYSTEM:(RX)
                                                 VORDEFINIERT\Benutzer:(RX)
                                                 ZERTIFIZIERUNGSSTELLE FÜR ANWENDUNGSPAKETE\ALLE ANWENDUNGSPAKETE:(RX)

1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.

C:\Users\Administrator>whoami /groups

GRUPPENINFORMATIONEN
--------------------

Gruppenname                                          Typ             SID                                           Attribute
==================================================== =============== ============================================= ================================================================================
Jeder                                                Bekannte Gruppe S-1-1-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Benutzer                                Alias           S-1-5-32-545                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Administratoren                         Alias           S-1-5-32-544                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer
NT-AUTORITÄT\INTERAKTIV                              Bekannte Gruppe S-1-5-4                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
KONSOLENANMELDUNG                                    Bekannte Gruppe S-1-2-1                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Authentifizierte Benutzer               Bekannte Gruppe S-1-5-11                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Diese Organisation                      Bekannte Gruppe S-1-5-15                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
LOKAL                                                Bekannte Gruppe S-1-2-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Group Policy Creator Owners                   Gruppe          S-1-5-21-1731680816-2417063338-1172291106-520 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Denied RODC Password Replication Group        Alias           S-1-5-21-1731680816-2417063338-1172291106-572 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Enterprise Admins                             Gruppe          S-1-5-21-1731680816-2417063338-1172291106-519 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Schema Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-518 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Domain Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-512 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe Bezeichnung     S-1-16-12288
active-directory samba4 windows-10 vic
fonte
Você pode incluir a saída de icacls c:\windows\system32\SystemSettingsAdminFlows.exee whoami /groups?
Greg Askew
Atualizei minha pergunta para incluir essas informações. Está em alemão, mas a maior parte será auto-explicativa. "Vordefiniert" significa "pré-definido", provavelmente traduzido como "incorporado".
vic
Essas permissões e membros do grupo Administrador parecem ok. Qual versão você tem (execute o vercomando)? Você também pode tentar excluir o perfil dessa conta e fazer logon novamente e executá-lo.
Greg Askew
Ver é 10.0.10240. Acabei de ingressar em um computador Win10 recém-implantado no domínio e efetuar login com a conta de Administrador (Domínio). Mesmo problema lá.
vic
Isso acontece em uma nova instalação do Windows sem aplicativos instalados?
Greg Askew

Respostas:

18

Parece que há um problema entre o 'Controle de conta de usuário' e a conta 'Administrador interno'. Eu tive o mesmo problema e isso funcionou para mim:

  1. Win + R e digite 'secpol.msc' para abrir o console da Diretiva de Segurança Local.
  2. Na árvore Configurações de segurança, abra Políticas Locais> Opções de Segurança.
  3. Localize a política: Controle de conta de usuário: Modo de aprovação de administrador da conta de administrador interno e ative-a.
  4. Sair - faça o login, voilá!
HEDMON
fonte
Ei, isso fez o truque. Apenas outra coisa que realmente não faz sentido, mas resolve o problema. Como você pensou nisso, consultou fontes oficiais?
vic
2
Se você o encontrar novamente, não se esqueça de adicioná-lo à sua resposta. Gostaria de entender isso com mais detalhes. Mas enfim, obrigado! :)
vic
2
Eu tinha a mesma coisa em um Windows 2016 Standard instalado recentemente, e isso também resolveu o problema para mim.
LPChip
1
Acho que a razão disso é que alguns aplicativos não serão executados no modo elevado. Se essa opção não estiver ativada, todos os aplicativos executados por esse usuário serão elevados. Se essa opção estiver ativada, o UAC estará ativo também para administradores internos (também administradores de domínio) e os aplicativos serão executados corretamente. É a maneira da Microsoft de atirar em seu próprio joelho.
22418 SkyBeam
1
você salvou meu dia! Domin
Dominic Jonas
3

Só tive esse problema em alguns computadores que administro. Caso ajude alguém:

  1. PCs criados a partir do zero com o Windows 10 (edição educacional) usando a instalação Lite Touch no servidor Windows - o problema não surgiu.

  2. Alguns PCs (mas não todos!?) Atualizados para o Windows 10 (edição educacional) - exatamente a mesma mídia de origem usada para a compilação LTI - do Windows 8.1 apresentaram o problema. O único padrão possível que vejo até agora é que os PCs com o problema eram os Surface Pro 2s - os que não exibiram o problema eram o Surface Pro 3s - além de driver / firmware etc. diferenças entre os 2 tipos, o pré As versões -upgrade nos 2 tipos eram idênticas, então isso parece muito estranho.

  3. Também tive algumas atualizações do Windows 10 Pro que não apresentavam problemas, mas todas eram Surface Pro 3s e não havia o suficiente para adicionar algo útil.

  4. A mensagem em inglês é:

O Windows não pode acessar o dispositivo, caminho ou arquivo especificado. Você pode não ter as permissões apropriadas para acessar o item.

  1. Em vez de usar a política de segurança local em máquinas individuais, você pode usar a política de grupo de domínio - a mesma configuração de política, em Configuração do Computador / Diretivas / Configurações do Windows / Configurações de Segurança / Diretivas Locais / Opções de Segurança - que parece corrigi-la.
David Nutting
fonte
Apenas não faça o modo de aprovação uac Amin no seu ambiente, ele abre uma enorme falha de segurança.
Jim B
Tenho que dizer que estou lutando para entender isso. Ativado parece que deveria ser MAIS restritivo? A explicação da política é: "Esta configuração de política controla o comportamento do Modo de Aprovação de Administrador da conta de Administrador interna. As opções são: • Habilitado: a conta de Administrador interna usa o Modo de Aprovação de Administrador. Por padrão, qualquer operação que exija a elevação de privilégio solicitará que o usuário aprove a operação. • Desabilitado: (Padrão) A conta de administrador interna executa todos os aplicativos com privilégios administrativos completos. "
David Nutting
@ Jim B, você pode fornecer mais informações sobre o risco com esta solução? O mesmo que @ David Nutting, encontrei a solução, mas não entendo 100% deles por isso. Do meu ponto de vista, é um bug do Windows, mas, novamente, não tenho certeza.
HEDMON
-2

Se você definir um usuário com Administrador diretamente no painel de controle / contas de usuário ANTES de fazer logon pela primeira vez, o novo applet Win10 funcionará ...

Patchman
fonte
Não tenho certeza se sigo. Eu tenho uma conta local com direitos de administrador. Eu usei para fazer a instalação em primeiro lugar.
vic