Jump to content

Domainadmin hat lokal keine Adminrechte


Direkt zur Lösung Gelöst von NorbertFe,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

wir fangen gerade mit den ersten 2019er Windowsservern an und sind da über die Rechte gestolpert.

Wenn ich mich als Domänenadministrator an einem 2019er Server anmelde, hat der lokal keine Rechte Systemeinstellungen zu ändern, bei 2008R2 ist das kein Problem.

Melde ich mich also mit "MeineDomäne\Administrator" an, kann ich z.B. keine Netzwerkeinstellungen öffnen, da passiert garnichts, nichtmal eine Fehlermeldung.

Versuche ich die "lokalen Benutzer und Gruppen" zu öffnen, bekomme ich zumindest den Hinweis das meine Rechte dafür nicht ausreichen und ich mich an den Administrator wenden soll.

Der lokale Administrator darf das und sieht dann auch, dass in der Gruppe der lokalen Administratoren auch die Gruppe der Domänenadministratoren eingetragen sind.

Unser AD läuft noch auf 2003er Stand, ist das der Grund? Anheben kann ich den Stand derzeit noch nicht.

 

Solved: Hier die Lösung des Problems :engel:

bearbeitet von Zebbi
Link zu diesem Kommentar

Ja, die Powershell kann ich als Admin starten:

PS C:\Users\Administrator.MeineFirma> whoami /groups

GRUPPENINFORMATIONEN
--------------------

Gruppenname                                          Typ             SID                                           Attribute
==================================================== =============== ============================================= ================================================================================
Jeder                                                Bekannte Gruppe S-1-1-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
TollerServer119\HelpLibraryUpdaters                         Alias           S-1-5-21-ACRONIS-XXXXXXXXXX-ZZZZZZZZZ-1031 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
TollerServer119\Acronis Centralized Admins                  Alias           S-1-5-21-ACRONIS-XXXXXXXXXX-ZZZZZZZZZ-1025 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
TollerServer119\Acronis Remote Users                        Alias           S-1-5-21-ACRONIS-XXXXXXXXXX-ZZZZZZZZZ-1026 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Distributed COM-Benutzer                Alias           S-1-5-32-562                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Leistungsprotokollbenutzer              Alias           S-1-5-32-559                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Benutzer                                Alias           S-1-5-32-545                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Administratoren                         Alias           S-1-5-32-544                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer
NT-AUTORITÄT\INTERAKTIVE REMOTEANMELDUNG             Bekannte Gruppe S-1-5-14                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\INTERAKTIV                              Bekannte Gruppe S-1-5-4                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Authentifizierte Benutzer               Bekannte Gruppe S-1-5-11                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Diese Organisation                      Bekannte Gruppe S-1-5-15                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
LOKAL                                                Bekannte Gruppe S-1-2-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
MeineFirma\Domänen-Admins                                Gruppe          S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-512   Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
MeineFirma\Richtlinien-Ersteller-Besitzer                Gruppe          S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-520   Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
MeineFirma\Organisations-Admins                          Gruppe          S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-519   Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
MeineFirma\Schema-Admins                                 Gruppe          S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-518   Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
MeineFirma\TollerServer114 $ Acronis Remote Users               Alias           S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-9753  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe
MeineFirma\Abgelehnte RODC-Kennwortreplikationsgruppe    Alias           S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-572   Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe
MeineFirma\Server3 $ Acronis Remote Users               Alias           S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-8224  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe
MeineFirma\MMTeam_DE_NL_BE                               Alias           S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-9988  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe
MeineFirma\ESX Admins                                    Alias           S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-9817  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe
Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe Bezeichnung     S-1-16-LALA
PS C:\Users\Administrator.MeineFirma>

Heißt das jetzt ich muss UAC komplett deaktivieren? Ist das so von MS jetzt so gewollt, oder hab ich da irgendwas falsch gemacht? Auf mich macht das Ganze den Eindruck von "Wir stellen alles auf 2019-App um, egal obs schon geht oder nicht." :(

bearbeitet von Zebbi
Link zu diesem Kommentar

Danke, UAC war das passende Stichwort.:lool:

Hier die "Lösung", auch wenns mehr nach einem Workarround aussieht, denn ein Domainadmin der keine Adminrechte hat, kann wohl kaum gewollt sein:

Zitat

 

Elevated command prompt, run gpedit.msc

Navigate to Computer Configuration->Windows Settings->Security Settings->Local Policies->Security Options

Enable "User Account Control: Admin Approval Mode for the Built-in Administrator account"

Reboot and try again.

Not sure exactly why, but this fixes the issue for me.

Quelle: https://community.spiceworks.com/canonical_answer_pages/136578-server-2019-upgrade-domain-administrator-missing-rights

 

Bei mir war diese Einstellung unkonfiguriert.

vor 57 Minuten schrieb NorbertFe:

2019 is an manchen Stellen einfach buggy. Sieht man daran, dass man das Netzwerk- und Freigabecenter nicht über das Netzwerksymbol öffnen kann, aber wohl über die alte Systemsteuerung (control.exe)

Ist damit auch "behoben". :thumb1:

bearbeitet von Zebbi
Link zu diesem Kommentar
Am 15.5.2019 um 11:14 schrieb Zebbi:

Hier die "Lösung", auch wenns mehr nach einem Workarround aussieht, denn ein Domainadmin der keine Adminrechte hat, kann wohl kaum gewollt sein:

Quelle: https://community.spiceworks.com/canonical_answer_pages/136578-server-2019-upgrade-domain-administrator-missing-rights

 

Bei mir war diese Einstellung unkonfiguriert.

 

Ich hab den Rest des Threads noch nicht gelesen, aber 2 Tipps zu UAC:

 

1. Apps funktionieren nicht, wenn UAC aus ist. Da fällt die ganze zugrunde liegende Architektur auf die Nase

2. Nicht mit dem Builtin Admin arbeiten. Leg Dir einen dafür an und arbeite mit dem.

Am 15.5.2019 um 11:47 schrieb Zebbi:

Aber wenn das praktisch schon ein Sicherheitsproblem darstellt willst Du die anderen gar nicht hören. ;) :(

Ja, das tut es. Per Default werden 10 Anmeldungen zwischengespeichert, d.h. der Kennworthash dieser Anmeldungen kann aus der Registry extrahiert werden, wenn man SYSTEM oder Admin auf dem Client ist. Und gerade im SoHo-Bereich ist da fast immer ein DomAdmin dabei, weil der die Clients von Hand "fertig schleift" :-)

 

Wir hatten gerade erst wieder einen Vorfall im Kundenbereich - die Einschläge kommen näher, und sie werden heftiger (=teurer). Haben viele noch nicht realisiert...

Link zu diesem Kommentar

Stimmt...

 

Also als Lösung eine Gruppenrichtlinie auf eine OU in der nur Clients sind die einem Domänenuser X lokale Adminrechte einräumt, dessen Passwort sich täglich ändert, damit ich auf den Clients einen definierten User für Wartungszwecke hab?

 

Kann man das Cachen der Credentials eigentlich für bestimmte Accounts deaktivieren?  Dann wäre das Problem ja behoben....

 

 

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...