Windows 10: ¿Administrador de dominio AD con derechos faltantes?

11

Tal vez mi título no es correcto, pero no sabría cómo nombrarlo en este momento.

Si inicio sesión en una máquina con Windows 10 con la cuenta principal de administrador de dominio de AD, recibo un mensaje de error al ingresar a la aplicación de configuración de idioma.

(Mi Windows está en otro idioma, así que esta no es la cadena real en inglés, sino solo mi traducción :)

  c:\windows\system32\SystemSettingsAdminFlows.exe   
  Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item.

Parece que puedo hacer mis cambios bien, incluso se guardan, solo tengo que seguir haciendo clic en el mensaje de error, al menos 5-6 veces.

Este problema no aparece cuando inicio sesión con la cuenta de administrador local en la misma máquina.

Revisé el grupo de administración local, el administrador de dominio de AD es parte de él. Y realmente puedo hacer casi todo lo contrario.

Ni siquiera puedo proporcionar una buena pregunta aquí, solo me gustaría entender qué está sucediendo y si me perdí algo en la configuración.

Actualizar: 

C:\Users\Administrator>icacls c:\windows\System32\SystemSettingsAdminFlows.exe
c:\windows\System32\SystemSettingsAdminFlows.exe NT SERVICE\TrustedInstaller:(F)
                                                 VORDEFINIERT\Administratoren:(RX)
                                                 NT-AUTORITÄT\SYSTEM:(RX)
                                                 VORDEFINIERT\Benutzer:(RX)
                                                 ZERTIFIZIERUNGSSTELLE FÜR ANWENDUNGSPAKETE\ALLE ANWENDUNGSPAKETE:(RX)

1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.

C:\Users\Administrator>whoami /groups

GRUPPENINFORMATIONEN
--------------------

Gruppenname                                          Typ             SID                                           Attribute
==================================================== =============== ============================================= ================================================================================
Jeder                                                Bekannte Gruppe S-1-1-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Benutzer                                Alias           S-1-5-32-545                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Administratoren                         Alias           S-1-5-32-544                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer
NT-AUTORITÄT\INTERAKTIV                              Bekannte Gruppe S-1-5-4                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
KONSOLENANMELDUNG                                    Bekannte Gruppe S-1-2-1                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Authentifizierte Benutzer               Bekannte Gruppe S-1-5-11                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Diese Organisation                      Bekannte Gruppe S-1-5-15                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
LOKAL                                                Bekannte Gruppe S-1-2-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Group Policy Creator Owners                   Gruppe          S-1-5-21-1731680816-2417063338-1172291106-520 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Denied RODC Password Replication Group        Alias           S-1-5-21-1731680816-2417063338-1172291106-572 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Enterprise Admins                             Gruppe          S-1-5-21-1731680816-2417063338-1172291106-519 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Schema Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-518 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Domain Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-512 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe Bezeichnung     S-1-16-12288
active-directory samba4 windows-10 vic
fuente
¿Puedes incluir la salida de icacls c:\windows\system32\SystemSettingsAdminFlows.exey whoami /groups?
Greg Askew
Actualicé mi pregunta para incluir esta información. Está en alemán, pero la mayoría se explicará por sí mismo. "Vordefiniert" significa "Predefinido", probablemente traducido como "Builtin".
vic
Esos permisos y la membresía del grupo Administrador se ven bien. ¿Qué compilación tienes (ejecuta el vercomando)? También puede intentar eliminar el perfil de esa cuenta e intentar iniciar sesión nuevamente y ejecutarlo.
Greg Askew
Ver es 10.0.10240. Acabo de unirme a una computadora Win10 recién implementada en el dominio e inicié sesión con la cuenta de Administrador (Dominio). Mismo problema allí.
vic
¿Sucede en una nueva instalación de Windows sin aplicaciones instaladas?
Greg Askew

Respuestas:

18

Parece que es un problema entre el 'Control de cuentas de usuario' y la cuenta de 'Administrador incorporado'. Tuve el mismo problema y esto funcionó para mí:

  1. Win + R y escriba 'secpol.msc' para abrir la consola de Política de seguridad local.
  2. En el árbol de Configuración de seguridad, abra Políticas locales> Opciones de seguridad.
  3. Encuentre la política: Control de cuentas de usuario: Modo de aprobación de administrador para la cuenta de administrador integrada y actívela.
  4. Cerrar sesión - iniciar sesión, voilá!
HEDMON
fuente
Oye, eso hizo el truco. Solo otra cosa que realmente no tiene sentido pero resuelve el problema. ¿Cómo pensaste en eso, consultaste alguna fuente oficial?
vic
2
Si lo encuentra de nuevo, no olvide agregarlo a su respuesta, me gustaría entender esto con más detalle. Pero de todos modos, gracias! :)
vic
2
Tenía lo mismo en un Windows 2016 Standard recién instalado, y esto también lo resolvió para mí.
LPChip
1
Creo que la razón de esto es que algunas aplicaciones no se ejecutarán en modo elevado. Si esta opción no está habilitada, todas las aplicaciones ejecutadas por este usuario son elevadas. Si esta opción está habilitada, UAC está activo también para administradores integrados (también administradores de dominio) y las aplicaciones funcionarán bien. Es la forma en que Microsoft te dispara la rodilla.
SkyBeam
1
¡Salvaste mi día! 😃🍻
Dominic Jonas
3

Acabo de tener este problema en algunas computadoras que administro. En caso de que ayude a alguien:

  1. PC creadas desde cero con Windows 10 (edición educativa) utilizando Lite Touch Installation desde el servidor de Windows: el problema no surgió.

  2. Algunas PC (¡pero no todas!) Actualizadas a Windows 10 (edición educativa), exactamente el mismo medio de origen que se utilizó para la compilación LTI, desde Windows 8.1 mostraron el problema. El único patrón posible que puedo ver hasta ahora es que las PC con el problema eran las Surface Pro 2, las que no exhibían el problema eran Surface Pro 3, aparte de las diferencias de controlador / firmware, etc., entre los 2 tipos, el pre -las actualizaciones en los 2 tipos eran idénticas, por lo que esto se siente muy extraño.

  3. También tuve algunas actualizaciones de Windows 10 Pro que no tenían ningún problema, pero todas estas eran Surface Pro 3 y no había suficientes para agregar algo útil.

  4. El mensaje en inglés es:

Windows no puede acceder al dispositivo, ruta o archivo especificado. Es posible que no tenga los permisos adecuados para acceder al elemento.

  1. En lugar de usar la política de seguridad local en máquinas individuales, puede usar la política de grupo de dominio, la misma configuración de política, en Configuración del equipo / Políticas / Configuración de Windows / Configuración de seguridad / Políticas locales / Opciones de seguridad, que parece solucionarlo.
David Nutting
fuente
Simplemente no haga el modo de aprobación uac Amin en su entorno, abre un gran agujero de seguridad.
Jim B
Tengo que decir que estoy luchando por darle sentido a esto. ¿Parece habilitado que debería ser MÁS restrictivo? La explicación de la política es: "Esta configuración de política controla el comportamiento del modo de aprobación de administrador para la cuenta de administrador integrada. Las opciones son: • Activado: la cuenta de administrador integrada utiliza el modo de aprobación de administrador. De manera predeterminada, cualquier operación que requiera la elevación de privilegios solicitará al usuario que apruebe la operación. • Desactivado: (predeterminado) La cuenta de administrador integrada ejecuta todas las aplicaciones con privilegios administrativos completos ".
David Nutting
@ Jim B, ¿puede proporcionar más información sobre el riesgo con esta solución? Al igual que @ David Nutting, encontré la solución, pero no entiendo al 100% por qué. Desde mi punto de vista, es un error de Windows, pero de nuevo, no estoy completamente seguro.
HEDMON
-2

Si define un usuario con Administrador directamente en el panel de control / cuentas de usuario ANTES de iniciar sesión con él por primera vez, el nuevo applet Win10 funciona ...

Patchman
fuente
No estoy seguro de seguirlo. Tengo una cuenta local con derechos de administrador. Lo usé para hacer la instalación en primer lugar.
vic