Active-Directory

Windows 10:缺少權限的 AD 域管理員?

  • February 11, 2020

也許我的標題不正確,但此時我不知道如何命名它。

如果我使用主 AD 域管理員帳戶登錄 Windows 10 電腦,則在輸入語言設置應用程序時收到錯誤消息。

(我的 Windows 是另一種語言,所以這不是英文的實際字元串,而只是我的翻譯:)

 c:\windows\system32\SystemSettingsAdminFlows.exe   
 Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item.

看來我可以很好地進行更改,它們甚至可以保存,我只需要繼續點擊錯誤消息,至少 5-6 次。

當我在同一台機器上使用本地管理員帳戶登錄時,不會出現此問題。

我檢查了本地管理員組,AD 域管理員是其中的一部分。而且我真的可以做幾乎所有其他事情。

我什至無法在這裡提出一個好的問題,我只想了解正在發生的事情以及我是否錯過了配置中的某些內容。

更新:

C:\Users\Administrator>icacls c:\windows\System32\SystemSettingsAdminFlows.exe
c:\windows\System32\SystemSettingsAdminFlows.exe NT SERVICE\TrustedInstaller:(F)
                                                VORDEFINIERT\Administratoren:(RX)
                                                NT-AUTORITÄT\SYSTEM:(RX)
                                                VORDEFINIERT\Benutzer:(RX)
                                                ZERTIFIZIERUNGSSTELLE FÜR ANWENDUNGSPAKETE\ALLE ANWENDUNGSPAKETE:(RX)

1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.

C:\Users\Administrator>whoami /groups

GRUPPENINFORMATIONEN
--------------------

Gruppenname                                          Typ             SID                                           Attribute
==================================================== =============== ============================================= ================================================================================
Jeder                                                Bekannte Gruppe S-1-1-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Benutzer                                Alias           S-1-5-32-545                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Administratoren                         Alias           S-1-5-32-544                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer
NT-AUTORITÄT\INTERAKTIV                              Bekannte Gruppe S-1-5-4                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
KONSOLENANMELDUNG                                    Bekannte Gruppe S-1-2-1                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Authentifizierte Benutzer               Bekannte Gruppe S-1-5-11                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Diese Organisation                      Bekannte Gruppe S-1-5-15                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
LOKAL                                                Bekannte Gruppe S-1-2-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Group Policy Creator Owners                   Gruppe          S-1-5-21-1731680816-2417063338-1172291106-520 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Denied RODC Password Replication Group        Alias           S-1-5-21-1731680816-2417063338-1172291106-572 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Enterprise Admins                             Gruppe          S-1-5-21-1731680816-2417063338-1172291106-519 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Schema Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-518 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Domain Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-512 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe Bezeichnung     S-1-16-12288

看起來這是“使用者帳戶控制”和“內置管理員”帳戶之間的問題。我有同樣的問題,這對我有用:

  1. Win + R 並鍵入“secpol.msc”以打開本地安全策略控制台。
  2. 在安全設置樹中,打開本地策略 > 安全選項。
  3. 找到策略:使用者帳戶控制:內置管理員帳戶的管理員批准模式並啟用它。
  4. 註銷 - 登錄,瞧!

剛剛在我管理的幾台電腦上遇到了這個問題。如果它對任何人有幫助:

  1. 使用 Windows 10(教育版)從 Windows 伺服器安裝 Lite Touch 從頭開始建構的 PC - 沒有出現問題。
  2. 一些(但不是全部!?)從 Windows 8.1 升級到 Windows 10(教育版)的 PC(與用於 LTI 建構的源媒體完全相同)出現了問題。到目前為止,我能看到的唯一可能的模式是有問題的 PC 是 Surface Pro 2s - 沒有出現問題的是 Surface Pro 3s - 除了驅動程序/韌體等 2 類型之間的差異,pre - 兩種類型的升級版本是相同的,所以這感覺很奇怪。
  3. 我還從 Windows 10 Pro 進行了一些沒有問題的升級,但所有這些都是 Surface Pro 3s,並且沒有足夠的數量來添加任何有用的東西。
  4. 英文資訊是:

Windows 無法訪問指定的設備、路徑或文件。您可能沒有適當的權限來訪問該項目。

  1. 您可以在電腦配置/策略/Windows 設置/安全設置/本地策略/安全選項下使用域組策略 - 相同的策略設置,而不是在單個電腦上使用本地安全策略 - 這似乎可以解決它。

引用自:https://serverfault.com/questions/731511