Windows 10:AD域管理员缺少权限?

11

也许我的标题不正确,但此时我不知道该如何命名。

如果我使用主AD域管理员帐户登录Windows 10计算机,则在进入语言设置应用程序时会收到错误消息。

(我的Windows使用另一种语言,所以这不是英文的实际字符串,而只是我的翻译:)

  c:\windows\system32\SystemSettingsAdminFlows.exe   
  Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item.

看来我可以将更改做得很好,甚至可以保存更改,我只需要保持单击错误消息至少5至6次即可。

当我在同一台计算机上使用本地管理员帐户登录时,不会出现此问题。

我检查了本地管理员组,AD域管理员是其中的一部分。我真的可以做其他所有事情。

我什至不能在这里提供一个很好的问题,我只是想了解正在发生的事情,以及是否错过了配置中的某些内容。

更新: 

C:\Users\Administrator>icacls c:\windows\System32\SystemSettingsAdminFlows.exe
c:\windows\System32\SystemSettingsAdminFlows.exe NT SERVICE\TrustedInstaller:(F)
                                                 VORDEFINIERT\Administratoren:(RX)
                                                 NT-AUTORITÄT\SYSTEM:(RX)
                                                 VORDEFINIERT\Benutzer:(RX)
                                                 ZERTIFIZIERUNGSSTELLE FÜR ANWENDUNGSPAKETE\ALLE ANWENDUNGSPAKETE:(RX)

1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.

C:\Users\Administrator>whoami /groups

GRUPPENINFORMATIONEN
--------------------

Gruppenname                                          Typ             SID                                           Attribute
==================================================== =============== ============================================= ================================================================================
Jeder                                                Bekannte Gruppe S-1-1-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Benutzer                                Alias           S-1-5-32-545                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Administratoren                         Alias           S-1-5-32-544                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer
NT-AUTORITÄT\INTERAKTIV                              Bekannte Gruppe S-1-5-4                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
KONSOLENANMELDUNG                                    Bekannte Gruppe S-1-2-1                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Authentifizierte Benutzer               Bekannte Gruppe S-1-5-11                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Diese Organisation                      Bekannte Gruppe S-1-5-15                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
LOKAL                                                Bekannte Gruppe S-1-2-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Group Policy Creator Owners                   Gruppe          S-1-5-21-1731680816-2417063338-1172291106-520 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Denied RODC Password Replication Group        Alias           S-1-5-21-1731680816-2417063338-1172291106-572 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Enterprise Admins                             Gruppe          S-1-5-21-1731680816-2417063338-1172291106-519 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Schema Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-518 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Domain Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-512 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe Bezeichnung     S-1-16-12288
active-directory  samba4  windows-10 
维克
source
您可以包括的输出icacls c:\windows\system32\SystemSettingsAdminFlows.exewhoami /groups
Greg Askew
我更新了问题以包含此信息。它是德语的,但是大多数都是不言而喻的。“ Vordefiniert”的意思是“预定义”,可能翻译为“ Builtin”。
vic
这些权限和管理员组成员身份都可以。您拥有什么版本(运行ver命令)?您可能还想尝试删除该帐户的配置文件,然后尝试再次登录并运行它。
Greg Askew
Ver是10.0.10240。我刚刚将新部署的Win10计算机加入域中,并使用(域)管理员帐户登录。那里同样的问题。
2015年
是否在没有安装任何应用程序的全新Windows安装中发生?
Greg Askew

Answers:

18

看来这是“用户帐户控制”和“内置管理员”帐户之间的问题。我有同样的问题,这对我有用:

  1. Win + R,然后键入“ secpol.msc”以打开“本地安全策略”控制台。
  2. 在“安全设置”树中,打开“本地策略”>“安全选项”。
  3. 找到内置管理员帐户的策略:用户帐户控制:管理员批准模式,并将其启用。
  4. 注销-登录,瞧!
赫德蒙
source
嘿,成功了。另一件事实际上没有任何意义,但可以解决问题。您甚至是怎么想的,您有咨询过任何官方消息吗?
vic
2
如果您再次找到它,请不要忘记将其添加到您的答案中,我想更详细地了解这一点。但是无论如何,谢谢!:)
vic
2
我在刚安装的Windows 2016 Standard上有同样的事情,这也为我解决了。
LPChip
1
我认为其原因是某些应用无法在提升模式下运行。如果未启用此选项,则提升该用户运行的所有应用程序。如果启用此选项,则内置管理员(也是域管理员)的UAC也会处于活动状态,并且应用程序将正常运行。这是微软射击自己的膝盖的方式。
SkyBeam '18
1
你救了我的一天!😃🍻–
多米尼克·乔纳斯
3

我管理的几台计算机上刚遇到此问题。如果它可以帮助任何人:

  1. 使用Windows Server的Lite Touch安装从Windows 10(教育版)重新构建的PC-不会出现此问题。

  2. 从Windows 8.1升级到Windows 10(教育版)的某些(但不是全部!?)PC(与用于LTI构建的源媒体完全相同)显示此问题。到目前为止,我所能看到的唯一可能的模式是有问题的PC是Surface Pro 2s-没有出现问题的PC是Surface Pro 3s-除了驱动程序/固件等。这两种类型之间的区别是这两种类型的-upgrade构建是相同的,因此感觉很奇怪。

  3. 我还从Windows 10 Pro进行了一些升级,没有问题,但是这些都是Surface Pro 3s,而且没有足够的东西来添加任何有用的东西。

  4. 英文消息是:

Windows无法访问指定的设备,路径或文件。您可能没有适当的权限来访问该项目。

  1. 可以在计算机配置/策略/ Windows设置/安全设置/本地策略/安全选项下使用域组策略(相同的策略设置)来代替它,而不必在单个计算机上使用本地安全策略。
大卫·纳廷
source
只是不要在您的环境中执行uac Amin批准模式,否则会打开一个巨大的安全漏洞。
Jim B
必须说我正在努力理解这一点。启用似乎应该具有更多限制?该策略的解释是:“此策略设置控制内置Administrator帐户的Admin Approval Mode的行为。选项为:•Enabled:内置Administrator帐户使用Admin Approval Mode。默认情况下,需要进行任何操作特权提升将提示用户批准该操作。•禁用:(默认)内置的Administrator帐户以完全的管理特权运行所有应用程序。”
David Nutting
@Jim B,请您提供有关此解决方案风险的更多信息吗?与@ David Nutting一样,我找到了解决方案,但我不明白他们为什么这样做100%。在我看来,这是一个Windows错误,但是同样,我不确定。
HEDMON
-2

如果您在控制面板/用户帐户中使用管理员权限定义用户,那么在您首次登录之前,新的Win10 applet可以使用...

派特曼
source
我不确定是否要遵循。我有一个具有管理员权限的本地帐户。我首先使用它进行安装。
2015年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.