Jump to content
Sign in to follow this  
igwadmin

AD, Windows 10 und die UAC

Recommended Posts

Hallo Miteinander,

 

ich habe bei uns in der Firma ein Problem mit der UAC und einem Admin Konto.

Ich habe auf den Clients per GPO ein neuen User zu den Administratoren (Gruppe) hinzugefügt.

Wenn man sich jetzt als der neue User anmeldet, hat man auch nach dem UAC Dialog die Adminrechte.

Melde ich mich aber als Standard User an (ohne Adminrechte) dann gehe ich z.b. auf die cmd als Admin ausführen, gebe die Daten des neuen

Users ein (wo ich per GPO zum Admin gemacht habe) dann akzeptiert der das nicht. Die UAC kommt immer wieder mit der Namens und Passwort Aufforderung.

Wenn ich meine Daten nehme (bin auch in der Admingruppe) dann geht es sofort.

 

 

Wir haben ca. 60 Clients, bei 20 ist das so die anderen funktionieren.

Share this post


Link to post
Share on other sites

Domänen User welcher lokaler Admin auf den Clients ist.

 

Ich verstehe das einfach nicht warum er das nicht akzeptiert.

 

Gibt es evtl. logs wo man schauen kann im Event log finde ich gar nichts.

 

Share this post


Link to post
Share on other sites

Aktiviere mal das "echte" Administrator Konto lokal auf dem PC

 

Start -> Ausführen -> Control Userpasswords2 -> Erweitert -> Erweitert -> Benutzer -> Rechtsklick auf Administrator -> Eigenschaften -> Konto ist deaktiviert haken raus und gleich auch neues PW vergeben.

 

Schauen ob du dann mit diesem Konto die UAC bestätigen kannst

 

(das Konto danach am besten wieder deaktivieren)

Share this post


Link to post
Share on other sites

Dom-User lokaler Admin?

Aus meiner Sicht nicht erforderlich und in der Regel eine schlechte Idee.

 

Gibt es nicht gerade einen längeren Thread zu dem Thema? :smile2:

Share this post


Link to post
Share on other sites

Moin,

 

sorry, aber für mich klingt das erst mal nach einem Tippfehler beim Kennwort. Oder der User ist im AD gesperrt/deaktiviert.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites
vor einer Stunde schrieb NilsK:

Moin,

 

sorry, aber für mich klingt das erst mal nach einem Tippfehler beim Kennwort. Oder der User ist im AD gesperrt/deaktiviert.

 

Gruß, Nils

 

Hi,

 

 

also definitiv kein Tippfehler ich habe es xxx Fach versucht bei ca. 30 von 60 Clients nimmt er den User per UAC Abfrage nicht.

Logge ich mich direkt mit dem User ein geht es.

Ich weiß auch nicht woran das ganze liegt, auch im Event log finde ich nichts.

 

Der User ist im AD angelegt ebenso eine Gruppe Client Administratoren, die Gruppe wurde dann  per gpo in die lokale Administratorengruppe gemappt, so das nur der die Gruppe und der Administrator in der lokalen Administratoren Gruppe ist.

Testweise habe ich mein Konto mit reingenommen und wenn der den UAC Dialog nicht akzeptiert hat habe ich mein Kürzel und Passwort genommen.

 

Was ich jetzt ausprobiert habe ist das ich nicht die Domänen Client Administratoren gruppe in die Lokale Aminogruppe gemappt habe sondern den User direkt analog mein Konto, jetzt geht es.

 

 

 

 

 

Share this post


Link to post
Share on other sites

Hast Du evtl ein Kerberos Token Bloat Problem? Zu viele Gruppenmitgliedschaften, dann fehlen sporadisch und zufällig welche...

Share this post


Link to post
Share on other sites
vor 18 Stunden schrieb daabm:

Hast Du evtl ein Kerberos Token Bloat Problem? Zu viele Gruppenmitgliedschaften, dann fehlen sporadisch und zufällig welche...

Hi,

 

wie bekomme ich das den Raus?

 

 

 

Am 2.5.2018 um 11:39 schrieb zahni:

Ist  das eine eigene Gruppe gewesen? Welcher Gruppentyp? 

Also ich habe in der Domäne eine Lokale Sicherheitsgruppe angelegt, dort den User rein getan ( clientadministrator) , dann habe ich per GPO diese Gruppe auf den Clients zur Administratorengruppe gesteckt und die Domänen Admins raus (war auf nem Lehrgang da hat man das so praktiziert).

 

Das unlogische ist hal das es bei manchen geht und bei manchen nicht, aber ich kann mich immer als Clientadministrator am Client nach dem Boot anmelden und habe die Adminrechte

.

 

Share this post


Link to post
Share on other sites
Am 7.5.2018 um 08:12 schrieb igwadmin:

wie bekomme ich das den Raus?

Commandline, "whoami /groups" - wie viele Einträge sind drin? Wenn es über 80 sind, sind wir im kritischen Bereich bei älteren Betriebssystemen. MS hat deswegen irgendwann die Default Token Size vergrößert und SID Compression eingführt - Google führt Dich ggf. zu weiteren Infos, wenn nein einfach kurz Bescheid, dann such ich was raus.

Share this post


Link to post
Share on other sites

Hi,

 

also das Problem ist es nicht, da sind evtl. 10 Gruppen drin.

 

Ich habe mich als besagter Clientadministrator angemeldet und whoami /all /fo list  ausgeführt

Share this post


Link to post
Share on other sites

Nochmal zum Verständnis: Du meldest Dich als Normaluser an und startest was als Admin. Da gibst Du Adminuser 1 ein und es geht nicht, und mit Adminuser 2 geht es?

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...