Windows 10: AD Администратор домена с недостающими правами?
Возможно, мой заголовок не корректен, но я не знал бы, как еще назвать его в этой точке.
Если я вхожу в машину Windows 10 с основной AD Учетной записью Администратора домена, я получаю сообщение об ошибке при вводе приложения настроек языка.
(Мой Windows находится на другом языке, таким образом, это не фактическая строка на английском, но просто моем переводе:)
c:\windows\system32\SystemSettingsAdminFlows.exe
You cannot access this device, path or file. You don't have sufficient priviliges to access this element.
Кажется, что я могу внести свои изменения очень хорошо, они даже сохраняются, я просто должен продолжать нажимать сообщение об ошибке далеко, по крайней мере 5-6 раз.
Эта проблема не появляется, когда я вхожу в систему с локальной администраторской учетной записью на той же машине.
Я проверил локальную Группу admin, AD Администратор домена является частью ее. И я действительно могу сделать в значительной степени все иначе.
Я не могу даже обеспечить хороший вопрос здесь, я был бы точно так же, как для понимания то, что происходит и если я пропустил что-то в конфигурации.
Обновление:
C:\Users\Administrator>icacls c:\windows\System32\SystemSettingsAdminFlows.exe
c:\windows\System32\SystemSettingsAdminFlows.exe NT SERVICE\TrustedInstaller:(F)
VORDEFINIERT\Administratoren:(RX)
NT-AUTORITÄT\SYSTEM:(RX)
VORDEFINIERT\Benutzer:(RX)
ZERTIFIZIERUNGSSTELLE FÜR ANWENDUNGSPAKETE\ALLE ANWENDUNGSPAKETE:(RX)
1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.
C:\Users\Administrator>whoami /groups
GRUPPENINFORMATIONEN
--------------------
Gruppenname Typ SID Attribute
==================================================== =============== ============================================= ================================================================================
Jeder Bekannte Gruppe S-1-1-0 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Benutzer Alias S-1-5-32-545 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Administratoren Alias S-1-5-32-544 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer
NT-AUTORITÄT\INTERAKTIV Bekannte Gruppe S-1-5-4 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
KONSOLENANMELDUNG Bekannte Gruppe S-1-2-1 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Authentifizierte Benutzer Bekannte Gruppe S-1-5-11 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Diese Organisation Bekannte Gruppe S-1-5-15 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
LOKAL Bekannte Gruppe S-1-2-0 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Group Policy Creator Owners Gruppe S-1-5-21-1731680816-2417063338-1172291106-520 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Denied RODC Password Replication Group Alias S-1-5-21-1731680816-2417063338-1172291106-572 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Enterprise Admins Gruppe S-1-5-21-1731680816-2417063338-1172291106-519 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Schema Admins Gruppe S-1-5-21-1731680816-2417063338-1172291106-518 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Domain Admins Gruppe S-1-5-21-1731680816-2417063338-1172291106-512 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe Bezeichnung S-1-16-12288
Похоже, это проблема между «Контроль учетных записей пользователей» и «Встроенным администратором». У меня была та же проблема, и у меня это сработало:
- Win + R и введите secpol.msc, чтобы открыть консоль локальной политики безопасности.
- В дереве параметров безопасности откройте Локальные политики> Параметры безопасности.
- Найдите политику: Контроль учетных записей пользователей: режим одобрения администратором для встроенной учетной записи администратора и включите его.
- Выйдите из системы - войдите, вуаля!
Если вы определяете пользователя с правами администратора в панели управления / учетных записях пользователей ДО того, как вы войдете с ним в первый раз, новый апплет Win10 будет работать ...
Эта проблема возникла на нескольких компьютерах, которыми я управляю . В случае, если это кому-то поможет:
ПК, созданные с нуля с Windows 10 (образовательная версия) с использованием установки Lite Touch с сервера Windows - проблема не возникла.
Некоторые (но не все!?) ПК были обновлены до Windows 10 (версия для учебных заведений) - точно такой же исходный носитель, который использовался для сборки LTI - из Windows 8.1 обнаружил проблему. Единственная возможная закономерность, которую я вижу до сих пор, заключается в том, что ПК с проблемой были Surface Pro 2s - те, на которых не было выявлено проблемы, были Surface Pro 3s - помимо различий между драйверами / прошивками и т. Д. Между двумя типами, предварительно -upgrade сборки для двух типов были идентичны, поэтому это кажется очень странным.
У меня также было несколько обновлений с Windows 10 Pro, в которых не было проблем, но все это были Surface Pro 3, и их было недостаточно. из них, чтобы добавить что-нибудь полезное.
Сообщение на английском языке:
Windows не может получить доступ к указанному устройству, пути или файлу. Вы не можете иметь соответствующие разрешения для доступа к элементу.
- Вместо использования локальной политики безопасности на отдельных машинах вы можете использовать групповую политику домена - тот же параметр политики в разделе Конфигурация компьютера / Политики / Параметры Windows / Параметры безопасности / Локальные политики / Параметры безопасности - который, кажется, исправляет.