Jump to content

Empfohlene Beiträge

Hallo Miteinander,

 

ich habe bei uns in der Firma ein Problem mit der UAC und einem Admin Konto.

Ich habe auf den Clients per GPO ein neuen User zu den Administratoren (Gruppe) hinzugefügt.

Wenn man sich jetzt als der neue User anmeldet, hat man auch nach dem UAC Dialog die Adminrechte.

Melde ich mich aber als Standard User an (ohne Adminrechte) dann gehe ich z.b. auf die cmd als Admin ausführen, gebe die Daten des neuen

Users ein (wo ich per GPO zum Admin gemacht habe) dann akzeptiert der das nicht. Die UAC kommt immer wieder mit der Namens und Passwort Aufforderung.

Wenn ich meine Daten nehme (bin auch in der Admingruppe) dann geht es sofort.

 

 

Wir haben ca. 60 Clients, bei 20 ist das so die anderen funktionieren.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Domänen User welcher lokaler Admin auf den Clients ist.

 

Ich verstehe das einfach nicht warum er das nicht akzeptiert.

 

Gibt es evtl. logs wo man schauen kann im Event log finde ich gar nichts.

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Aktiviere mal das "echte" Administrator Konto lokal auf dem PC

 

Start -> Ausführen -> Control Userpasswords2 -> Erweitert -> Erweitert -> Benutzer -> Rechtsklick auf Administrator -> Eigenschaften -> Konto ist deaktiviert haken raus und gleich auch neues PW vergeben.

 

Schauen ob du dann mit diesem Konto die UAC bestätigen kannst

 

(das Konto danach am besten wieder deaktivieren)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

sorry, aber für mich klingt das erst mal nach einem Tippfehler beim Kennwort. Oder der User ist im AD gesperrt/deaktiviert.

 

Gruß, Nils

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor einer Stunde schrieb NilsK:

Moin,

 

sorry, aber für mich klingt das erst mal nach einem Tippfehler beim Kennwort. Oder der User ist im AD gesperrt/deaktiviert.

 

Gruß, Nils

 

Hi,

 

 

also definitiv kein Tippfehler ich habe es xxx Fach versucht bei ca. 30 von 60 Clients nimmt er den User per UAC Abfrage nicht.

Logge ich mich direkt mit dem User ein geht es.

Ich weiß auch nicht woran das ganze liegt, auch im Event log finde ich nichts.

 

Der User ist im AD angelegt ebenso eine Gruppe Client Administratoren, die Gruppe wurde dann  per gpo in die lokale Administratorengruppe gemappt, so das nur der die Gruppe und der Administrator in der lokalen Administratoren Gruppe ist.

Testweise habe ich mein Konto mit reingenommen und wenn der den UAC Dialog nicht akzeptiert hat habe ich mein Kürzel und Passwort genommen.

 

Was ich jetzt ausprobiert habe ist das ich nicht die Domänen Client Administratoren gruppe in die Lokale Aminogruppe gemappt habe sondern den User direkt analog mein Konto, jetzt geht es.

 

 

 

 

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hast Du evtl ein Kerberos Token Bloat Problem? Zu viele Gruppenmitgliedschaften, dann fehlen sporadisch und zufällig welche...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 18 Stunden schrieb daabm:

Hast Du evtl ein Kerberos Token Bloat Problem? Zu viele Gruppenmitgliedschaften, dann fehlen sporadisch und zufällig welche...

Hi,

 

wie bekomme ich das den Raus?

 

 

 

Am 2.5.2018 um 11:39 schrieb zahni:

Ist  das eine eigene Gruppe gewesen? Welcher Gruppentyp? 

Also ich habe in der Domäne eine Lokale Sicherheitsgruppe angelegt, dort den User rein getan ( clientadministrator) , dann habe ich per GPO diese Gruppe auf den Clients zur Administratorengruppe gesteckt und die Domänen Admins raus (war auf nem Lehrgang da hat man das so praktiziert).

 

Das unlogische ist hal das es bei manchen geht und bei manchen nicht, aber ich kann mich immer als Clientadministrator am Client nach dem Boot anmelden und habe die Adminrechte

.

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Am 7.5.2018 um 08:12 schrieb igwadmin:

wie bekomme ich das den Raus?

Commandline, "whoami /groups" - wie viele Einträge sind drin? Wenn es über 80 sind, sind wir im kritischen Bereich bei älteren Betriebssystemen. MS hat deswegen irgendwann die Default Token Size vergrößert und SID Compression eingführt - Google führt Dich ggf. zu weiteren Infos, wenn nein einfach kurz Bescheid, dann such ich was raus.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi,

 

also das Problem ist es nicht, da sind evtl. 10 Gruppen drin.

 

Ich habe mich als besagter Clientadministrator angemeldet und whoami /all /fo list  ausgeführt

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nochmal zum Verständnis: Du meldest Dich als Normaluser an und startest was als Admin. Da gibst Du Adminuser 1 ein und es geht nicht, und mit Adminuser 2 geht es?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×