L'utilisateur du groupe Administrateurs n'a pas les mêmes droits que l'administrateur (Win 2012 R2)

10

J'ai créé un administrateur utilisateur et mis cet utilisateur dans les groupes d'administrateurs (local, il n'y a pas d'AD). Mais cet utilisateur administrateur n'a pas les mêmes droits que l'utilisateur administrateur lui-même.

Exemple 1: un fichier appartient à SYSTEM et le groupe d'administrateurs a le contrôle total. Si j'essaie d'ajouter des autorisations pour un utilisateur à ce fichier, cela ne fonctionne pas pour l'utilisateur administrateur. Avec l'administrateur est fonctionne sans aucun problème.

Exemple 2: la configuration de sécurité renforcée d'IE est désactivée pour les administrateurs, activée pour les utilisateurs. Pour l'administrateur, c'est OK, pour l'utilisateur administrateur, il est toujours activé.

Est-ce un problème de configuration? Si oui, que dois-je faire pour que tout soit correct?

permissions windows-server-2012-r2 users Maarten
la source
1
Cela ne devrait pas se comporter de cette façon. Veuillez vous assurer que ce compte local appartient vraiment au groupe Administrateurs local. Une fois connecté avec cet utilisateur, vous pouvez exécuter WHOAMI /GROUPS /FO LISTpour vérifier qu'il fait vraiment partie des bons groupes.
TheCleaner
5
Vous êtes-vous déconnecté et reconnecté avec le nouvel utilisateur après l'avoir fait membre des groupes Administrateurs? Son jeton d'accès ne changera pas pendant la durée de la session en cours sur cette machine
Mathias R. Jessen
@TheCleaner: ce sont les groupes dont il est membre: Tout le monde, NT AUTHORITY \ Local account et membre du groupe Administrators, BULTIN \ Administrators, BUILTIN \ Users, NT AUTHORITY \ REMOTE INTERACTIVE LOGON, NT AUTHORITY \ INTERACTIVE, NT AUTHORITY \ Authenticated Users , AUTORITÉ NT \ Cette organisation, AUTORITÉ NT \ Compte local, LOCAL, AUTORITÉ NT \ Authentification NTLM, étiquette obligatoire \ Niveau obligatoire moyen
Maarten
Comme il ne s'agit pas d'un domaine, je me demande si c'est un problème UAC. Si vous désactivez UAC (User Account Control) sur le serveur, cela fonctionne-t-il alors? social.technet.microsoft.com/wiki/contents/articles/…
TheCleaner
Le problème des droits (exemple 1) semble être OK après avoir désactivé l'UAC. L'ESC IE est toujours un problème.
Maarten

Réponses:

17

Cela peut être dû au contrôle de compte d'utilisateur , une fonctionnalité (détestée par beaucoup) qui fait que, même si vous avez des droits administratifs, vous ne les avez pas réellement, sauf si vous les demandez explicitement. Il existe deux stratégies distinctes régissant le comportement du contrôle de compte d’utilisateur (toutes deux présentes dans Computer settings\Windows settings\Security settings\Local policies\Security options), une pour le compte intégré Administratoret une autre pour tous les autres utilisateurs administratifs:

  • Contrôle de compte d'utilisateur: mode d'approbation administrateur pour le compte administrateur intégré (désactivé par défaut)
  • Contrôle de compte d'utilisateur: exécutez tous les administrateurs en mode d'approbation administrateur (activé par défaut)

Ce que cela signifie est: par défaut, le haut- Administratorcompte est pas affectée par l' UAC, alors que tous les autres utilisateurs administratifs sont ; ainsi, il est possible pour un utilisateur administratif (différent du build-it Administrator) de ne pas avoir réellement de droits administratifs, même s'il est membre du Administratorsgroupe.

Plus d'infos ici .

Massimo
la source
La désactivation du 2e paramètre a résolu le problème pour moi sous Windows 10. Pouvez-vous expliquer pourquoi ce paramètre existe? Quel est l'intérêt d'avoir un groupe Administrateur si les membres de ce groupe n'ont accès à aucune des autorisations dudit groupe par défaut?
Mordred
1
Le fait est (supposément) que l'UAC empêche les utilisateurs disposant de droits administratifs de se tirer par balle accidentellement dans leurs pieds, car ils doivent explicitement demander au système de leur accorder les privilèges qu'ils devraient avoir (utiliser "exécuter en tant qu'administrateur" lors du lancement d'un programme).
Massimo
1
Cependant, l'implémentation est si floconneuse (par exemple, vous ne pouvez pas utiliser «exécuter en tant qu'administrateur» sur l'Explorateur Windows car il est toujours en cours d'exécution et vous ne pouvez pas en lancer une autre instance avec des droits élevés) que la plupart des utilisateurs expérimentés finissent par désactiver complètement UAC , afin de pouvoir réellement utiliser leur ordinateur.
Massimo
2
L'UAC existe depuis Windows Vista, mais c'est encore pire dans Windows 8 et versions ultérieures (y compris 10), car la désactivation de l'UAC empêche efficacement les applications Metro / Modern de s'exécuter: pour une raison inconnue, elles semblent avoir réellement besoin de l' UAC pour fonctionner, et ils ne démarrent même pas si l'UAC est désactivé.
Massimo
1

J'ai eu une situation similaire et l'ai corrigée en suivant les étapes de http://clintboessen.blogspot.com/2013/05/you-dont-currently-have-permission-to.html (qui sont pour une situation différente). Voici ce que j'avais et ce que j'ai fait:

  1. Deux ordinateurs, pas de domaine Active Directory, l'un avec Win 8.1 (nom W81 par exemple), l'autre avec Server 2012 (nom w12 par exemple)
  2. Deux utilisateurs locaux sur w12: [UserA] avec PasswordA et [UserB] avec PasswordB. Les deux appartiennent au groupe local [Administrateurs].
  3. Deux utilisateurs locaux sur w81: [UserA] et [UserB] avec les mêmes PasswordA et PasswordB que les utilisateurs correspondants de w12. Les deux appartiennent au groupe local [Administrateurs].
  4. Je partage un dossier sur w12: a. Nom du partage: Temp1 $ b. Autorisations de partage: [Tout le monde], Contrôle total c. Autorisations NTFS: [Administrateurs], Contrôle total. Aucun autre groupe n'a d'autorisations NTFS ici
  5. Connecté sur le W12 en tant que [UserA], j'essaie d'accéder au partage en utilisant UNC \ w12 \ Temp1 $. Je reçois une erreur indiquant que je n'ai pas accès. La part est trouvée. Pas d'accès.
  6. Connecté sur le W81 en tant que [UserB], j'essaie d'accéder au partage en utilisant UNC \ w12 \ Temp1 $. J'ai la même erreur. REDÉMARRER w12 N'AIDE PAS.
  7. Si j'ajoute [UserA] et [UserB] explicitement aux autorisations NTFS, ils ont maintenant accès au partage à l'aide des étapes 5 et 6.
  8. J'ai couru GPEdit.msc sur w12, suis allé à:

Configuration de l'ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité

et utilisé les paramètres pour les recommandations # 1 et # 3:

# 1, Contrôle de compte d'utilisateur: Mode d'approbation administrateur pour le compte administrateur intégré: désactivé. # 3, Contrôle de compte d'utilisateur: exécutez tous les administrateurs en mode d'approbation administrateur: désactivé.

Et laissé # 2 intact: # 2, Contrôle de compte d'utilisateur: Comportement de l'invite d'élévation pour les administrateurs en mode d'approbation administrateur: Demander le consentement pour les binaires non Windows

  1. Redémarré la machine et la situation ne s'est pas reproduite.
Jelgab
la source
1
L'autorisation d'accéder au partage (autorisation de partage) n'est pas la même que l'autorisation d'accéder à un fichier (autorisation NTFS). Ils sont et devraient être séparés.
artifex