Windows 10: Administrateur de domaine AD avec des droits manquants?

11

Peut-être que mon titre n'est pas correct, mais je ne saurais pas comment le nommer autrement à ce stade.

Si je me connecte à une machine Windows 10 avec le compte administrateur de domaine AD principal, je reçois un message d'erreur lors de la saisie de l'application des paramètres de langue.

(Mon Windows est dans une autre langue donc ce n'est pas la vraie chaîne en anglais mais juste ma traduction :)

  c:\windows\system32\SystemSettingsAdminFlows.exe   
  Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item.

Il semble que je puisse faire mes modifications très bien, elles sont même enregistrées, je n'ai qu'à cliquer sur le message d'erreur, au moins 5-6 fois.

Ce problème n'apparaît pas lorsque je me connecte avec le compte d'administrateur local sur la même machine.

J'ai vérifié le groupe d'administration local, l'administrateur du domaine AD en fait partie. Et je peux vraiment tout faire autrement.

Je ne peux même pas fournir une bonne question ici, je voudrais juste comprendre ce qui se passe et si j'ai raté quelque chose dans la configuration.

Mise à jour:

C:\Users\Administrator>icacls c:\windows\System32\SystemSettingsAdminFlows.exe
c:\windows\System32\SystemSettingsAdminFlows.exe NT SERVICE\TrustedInstaller:(F)
                                                 VORDEFINIERT\Administratoren:(RX)
                                                 NT-AUTORITÄT\SYSTEM:(RX)
                                                 VORDEFINIERT\Benutzer:(RX)
                                                 ZERTIFIZIERUNGSSTELLE FÜR ANWENDUNGSPAKETE\ALLE ANWENDUNGSPAKETE:(RX)

1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.

C:\Users\Administrator>whoami /groups

GRUPPENINFORMATIONEN
--------------------

Gruppenname                                          Typ             SID                                           Attribute
==================================================== =============== ============================================= ================================================================================
Jeder                                                Bekannte Gruppe S-1-1-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Benutzer                                Alias           S-1-5-32-545                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Administratoren                         Alias           S-1-5-32-544                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer
NT-AUTORITÄT\INTERAKTIV                              Bekannte Gruppe S-1-5-4                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
KONSOLENANMELDUNG                                    Bekannte Gruppe S-1-2-1                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Authentifizierte Benutzer               Bekannte Gruppe S-1-5-11                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Diese Organisation                      Bekannte Gruppe S-1-5-15                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
LOKAL                                                Bekannte Gruppe S-1-2-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Group Policy Creator Owners                   Gruppe          S-1-5-21-1731680816-2417063338-1172291106-520 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Denied RODC Password Replication Group        Alias           S-1-5-21-1731680816-2417063338-1172291106-572 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Enterprise Admins                             Gruppe          S-1-5-21-1731680816-2417063338-1172291106-519 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Schema Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-518 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Domain Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-512 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe Bezeichnung     S-1-16-12288
vic
la source
Pouvez-vous inclure la sortie de icacls c:\windows\system32\SystemSettingsAdminFlows.exeet whoami /groups?
Greg Askew du
J'ai mis à jour ma question pour inclure ces informations. C'est en allemand, mais la plupart seront explicites. "Vordefiniert" signifie "Prédéfini", probablement traduit par "Builtin".
vic
Ces autorisations et l'appartenance au groupe Administrateur semblent correctes. Quelle version avez-vous (exécutez la vercommande)? Vous pouvez également essayer de supprimer le profil de ce compte et essayez de vous reconnecter et de l'exécuter.
Greg Askew du
Ver est 10.0.10240. Je viens de rejoindre un ordinateur Win10 récemment déployé dans le domaine et de me connecter avec le compte administrateur (domaine). Même problème là-bas.
vic
Cela se produit-il lors d'une nouvelle installation de Windows sans application installée?
Greg Askew du

Réponses:

18

Il semble que ce soit un problème entre le «Contrôle de compte d'utilisateur» et le compte «Administrateur intégré». J'ai eu le même problème et cela a fonctionné pour moi:

  1. Win + R et tapez «secpol.msc» pour ouvrir la console de stratégie de sécurité locale.
  2. Dans l'arborescence des paramètres de sécurité, ouvrez Stratégies locales> Options de sécurité.
  3. Recherchez la stratégie: Contrôle de compte d'utilisateur: Mode d'approbation administrateur pour le compte administrateur intégré et activez-le.
  4. Déconnexion - connectez-vous, voilá!
HEDMON
la source
Hé, ça a fait l'affaire. Juste une autre chose qui n'a pas vraiment de sens mais qui résout le problème. Comment avez-vous pensé à cela, avez-vous consulté des sources officielles?
vic
2
Si vous le retrouvez, n'oubliez pas de l'ajouter à votre réponse, j'aimerais le comprendre plus en détail. Mais bon, merci! :)
vic
2
J'ai eu la même chose sur un Windows 2016 Standard fraîchement installé, et cela m'a aussi résolu.
LPChip
1
Je pense que la raison en est que certaines applications ne fonctionneront pas en mode élevé. Si cette option n'est pas activée, toutes les applications exécutées par cet utilisateur sont élevées. Si cette option est activée, UAC est également actif pour les administrateurs intégrés (également les administrateurs de domaine) et les applications fonctionneront correctement. C'est la façon dont Microsoft tire son propre genou.
SkyBeam
1
tu m'as sauvé la journée! 😃🍻
Dominic Jonas
3

Je viens d'avoir ce problème sur quelques ordinateurs que j'administre. Au cas où cela aiderait quelqu'un:

  1. PC construits à partir de zéro avec Windows 10 (édition pour l'éducation) utilisant Lite Touch Installation à partir du serveur Windows - le problème ne s'est pas posé.

  2. Certains (mais pas tous!?) PC mis à niveau vers Windows 10 (édition éducation) - exactement le même support source que celui utilisé pour la génération LTI - à partir de Windows 8.1 présentaient le problème. Le seul modèle possible que je peux voir jusqu'à présent est que les PC avec le problème étaient les Surface Pro 2 - ceux qui ne présentaient pas le problème étaient les Surface Pro 3 - à part les différences de pilote / firmware, etc. entre les 2 types, les pré -les versions de mise à niveau sur les 2 types étaient identiques, donc cela semble très étrange.

  3. J'ai également eu quelques mises à niveau de Windows 10 Pro qui n'ont pas eu de problème, mais toutes ces surfaces étaient des Surface Pro 3 et il n'y en avait pas assez pour ajouter quelque chose d'utile.

  4. Le message anglais est:

Windows ne peut pas accéder au périphérique, au chemin ou au fichier spécifié. Vous ne disposez peut-être pas des autorisations appropriées pour accéder à l'élément.

  1. Au lieu d'utiliser la stratégie de sécurité locale sur des machines individuelles, vous pouvez utiliser la stratégie de groupe de domaine - même paramètre de stratégie, sous Configuration ordinateur / Stratégies / Paramètres Windows / Paramètres de sécurité / Stratégies locales / Options de sécurité - qui semble le corriger.
David Nutting
la source
Ne faites tout simplement pas le mode d'approbation uac Amin dans votre environnement, cela ouvre un énorme trou de sécurité.
Jim B
Je dois dire que j'ai du mal à comprendre cela. Activé semble être plus restrictif? L'explication de la stratégie est la suivante: "Ce paramètre de stratégie contrôle le comportement du mode d'approbation administrateur pour le compte administrateur intégré. Les options sont les suivantes: • Activé: le compte administrateur intégré utilise le mode d'approbation administrateur. Par défaut, toute opération nécessitant l'élévation des privilèges invitera l'utilisateur à approuver l'opération. • Désactivé: (par défaut) Le compte administrateur intégré exécute toutes les applications avec des privilèges administratifs complets. "
David Nutting du
@ Jim B, pouvez-vous s'il vous plaît fournir plus d'informations sur le risque avec cette solution? Comme @ David Nutting, j'ai trouvé la solution, mais je ne comprends pas à 100% pourquoi. De mon point de vue, c'est un bogue Windows, mais encore une fois, je ne suis pas sûr.
HEDMON
-2

Si vous définissez un utilisateur avec droit d'administrateur dans le panneau de contrôle / comptes d'utilisateur AVANT de vous connecter avec lui pour la première fois, la nouvelle applet Win10 fonctionne ...

Patchman
la source
Je ne suis pas sûr de suivre. J'ai un compte local avec des droits d'administrateur. Je l'ai utilisé pour faire l'installation en premier lieu.
vic