Назад | Перейти на главную страницу

Windows 10: администратор домена AD с отсутствующими правами?

Возможно, мой заголовок неправильный, но я не знаю, как еще назвать его сейчас.

Если я вхожу на компьютер с Windows 10 с основной учетной записью администратора домена AD, я получаю сообщение об ошибке при входе в приложение языковых настроек.

(Моя Windows на другом языке, поэтому это не настоящая строка на английском, а просто мой перевод :)

  c:\windows\system32\SystemSettingsAdminFlows.exe   
  Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item.

Кажется, я могу вносить свои изменения нормально, они даже сохраняются, мне просто нужно нажимать на сообщение об ошибке как минимум 5-6 раз.

Эта проблема не возникает, когда я вхожу в систему с учетной записью локального администратора на том же компьютере.

Я проверил локальную группу администраторов, администратор домена AD является ее частью. И в противном случае я действительно могу сделать почти все.

Я даже не могу задать здесь хороший вопрос, я просто хотел бы понять, что происходит и не пропустил ли что-то в конфигурации.

Обновить: 

C:\Users\Administrator>icacls c:\windows\System32\SystemSettingsAdminFlows.exe
c:\windows\System32\SystemSettingsAdminFlows.exe NT SERVICE\TrustedInstaller:(F)
                                                 VORDEFINIERT\Administratoren:(RX)
                                                 NT-AUTORITÄT\SYSTEM:(RX)
                                                 VORDEFINIERT\Benutzer:(RX)
                                                 ZERTIFIZIERUNGSSTELLE FÜR ANWENDUNGSPAKETE\ALLE ANWENDUNGSPAKETE:(RX)

1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.

C:\Users\Administrator>whoami /groups

GRUPPENINFORMATIONEN
--------------------

Gruppenname                                          Typ             SID                                           Attribute
==================================================== =============== ============================================= ================================================================================
Jeder                                                Bekannte Gruppe S-1-1-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Benutzer                                Alias           S-1-5-32-545                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Administratoren                         Alias           S-1-5-32-544                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer
NT-AUTORITÄT\INTERAKTIV                              Bekannte Gruppe S-1-5-4                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
KONSOLENANMELDUNG                                    Bekannte Gruppe S-1-2-1                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Authentifizierte Benutzer               Bekannte Gruppe S-1-5-11                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Diese Organisation                      Bekannte Gruppe S-1-5-15                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
LOKAL                                                Bekannte Gruppe S-1-2-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Group Policy Creator Owners                   Gruppe          S-1-5-21-1731680816-2417063338-1172291106-520 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Denied RODC Password Replication Group        Alias           S-1-5-21-1731680816-2417063338-1172291106-572 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Enterprise Admins                             Gruppe          S-1-5-21-1731680816-2417063338-1172291106-519 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Schema Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-518 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Domain Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-512 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe Bezeichnung     S-1-16-12288

Похоже, это проблема между «Контроль учетных записей пользователей» и «Встроенным администратором». У меня была такая же проблема, и это сработало для меня:

  1. Win + R и введите secpol.msc, чтобы открыть консоль локальной политики безопасности.
  2. В дереве параметров безопасности откройте Локальные политики> Параметры безопасности.
  3. Найдите политику: Контроль учетных записей пользователей: режим утверждения администратором для встроенной учетной записи администратора и включите ее.
  4. Выйти - войти, вуаля!

Просто возникла эта проблема на нескольких компьютерах, которыми я управляю. Если это кому-то поможет:

  1. ПК, созданные с нуля с Windows 10 (версия для учебных заведений) с использованием установки Lite Touch с сервера Windows - проблемы не возникло.

  2. На некоторых (но не на всех!?) ПК, обновленных до Windows 10 (образовательная версия) - точно такой же исходный носитель, который использовался для сборки LTI - из Windows 8.1, проявлялась проблема. Единственная возможная закономерность, которую я вижу до сих пор, заключается в том, что ПК с проблемой были Surface Pro 2s - те, на которых не было обнаружено проблемы, были Surface Pro 3s - помимо различий между драйверами / прошивками и т. Д. Между двумя типами, предварительно -upgrade билды двух типов были идентичны, так что это очень странно.

  3. У меня также было несколько обновлений с Windows 10 Pro, в которых не было проблем, но все это были Surface Pro 3, и их было недостаточно, чтобы добавить что-нибудь полезное.

  4. Послание на английском языке:

Windows не может получить доступ к указанному устройству, пути или файлу. Возможно, у вас нет соответствующих разрешений для доступа к элементу.

  1. Вместо использования локальной политики безопасности на отдельных машинах вы можете использовать групповую политику домена - тот же параметр политики в разделе Конфигурация компьютера / Политики / Параметры Windows / Параметры безопасности / Локальные политики / Параметры безопасности - что, похоже, исправляет.

Если вы определите пользователя с правами администратора прямо в панели управления / учетных записях пользователей ДО того, как вы войдете с ним в первый раз, новый апплет Win10 будет работать ...