Jump to content
Zebbi

Domainadmin hat lokal keine Adminrechte

Recommended Posts

Hallo,

 

wir fangen gerade mit den ersten 2019er Windowsservern an und sind da über die Rechte gestolpert.

Wenn ich mich als Domänenadministrator an einem 2019er Server anmelde, hat der lokal keine Rechte Systemeinstellungen zu ändern, bei 2008R2 ist das kein Problem.

Melde ich mich also mit "MeineDomäne\Administrator" an, kann ich z.B. keine Netzwerkeinstellungen öffnen, da passiert garnichts, nichtmal eine Fehlermeldung.

Versuche ich die "lokalen Benutzer und Gruppen" zu öffnen, bekomme ich zumindest den Hinweis das meine Rechte dafür nicht ausreichen und ich mich an den Administrator wenden soll.

Der lokale Administrator darf das und sieht dann auch, dass in der Gruppe der lokalen Administratoren auch die Gruppe der Domänenadministratoren eingetragen sind.

Unser AD läuft noch auf 2003er Stand, ist das der Grund? Anheben kann ich den Stand derzeit noch nicht.

 

Solved: Hier die Lösung des Problems :engel:

Edited by Zebbi

Share this post


Link to post
Share on other sites

Um Norbert zu ergänzen: Win-X, kannst Du die Admin-Powershell (oder Commandline) starten? Normale Commandline: whoami /groups

Share this post


Link to post
Share on other sites

Ja, die Powershell kann ich als Admin starten:

PS C:\Users\Administrator.MeineFirma> whoami /groups

GRUPPENINFORMATIONEN
--------------------

Gruppenname                                          Typ             SID                                           Attribute
==================================================== =============== ============================================= ================================================================================
Jeder                                                Bekannte Gruppe S-1-1-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
TollerServer119\HelpLibraryUpdaters                         Alias           S-1-5-21-ACRONIS-XXXXXXXXXX-ZZZZZZZZZ-1031 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
TollerServer119\Acronis Centralized Admins                  Alias           S-1-5-21-ACRONIS-XXXXXXXXXX-ZZZZZZZZZ-1025 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
TollerServer119\Acronis Remote Users                        Alias           S-1-5-21-ACRONIS-XXXXXXXXXX-ZZZZZZZZZ-1026 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Distributed COM-Benutzer                Alias           S-1-5-32-562                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Leistungsprotokollbenutzer              Alias           S-1-5-32-559                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Benutzer                                Alias           S-1-5-32-545                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Administratoren                         Alias           S-1-5-32-544                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer
NT-AUTORITÄT\INTERAKTIVE REMOTEANMELDUNG             Bekannte Gruppe S-1-5-14                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\INTERAKTIV                              Bekannte Gruppe S-1-5-4                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Authentifizierte Benutzer               Bekannte Gruppe S-1-5-11                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Diese Organisation                      Bekannte Gruppe S-1-5-15                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
LOKAL                                                Bekannte Gruppe S-1-2-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
MeineFirma\Domänen-Admins                                Gruppe          S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-512   Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
MeineFirma\Richtlinien-Ersteller-Besitzer                Gruppe          S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-520   Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
MeineFirma\Organisations-Admins                          Gruppe          S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-519   Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
MeineFirma\Schema-Admins                                 Gruppe          S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-518   Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
MeineFirma\TollerServer114 $ Acronis Remote Users               Alias           S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-9753  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe
MeineFirma\Abgelehnte RODC-Kennwortreplikationsgruppe    Alias           S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-572   Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe
MeineFirma\Server3 $ Acronis Remote Users               Alias           S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-8224  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe
MeineFirma\MMTeam_DE_NL_BE                               Alias           S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-9988  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe
MeineFirma\ESX Admins                                    Alias           S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-9817  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe
Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe Bezeichnung     S-1-16-LALA
PS C:\Users\Administrator.MeineFirma>

Heißt das jetzt ich muss UAC komplett deaktivieren? Ist das so von MS jetzt so gewollt, oder hab ich da irgendwas falsch gemacht? Auf mich macht das Ganze den Eindruck von "Wir stellen alles auf 2019-App um, egal obs schon geht oder nicht." :(

Edited by Zebbi

Share this post


Link to post
Share on other sites

2019 is an manchen Stellen einfach buggy. Sieht man daran, dass man das Netzwerk- und Freigabecenter nicht über das Netzwerksymbol öffnen kann, aber wohl über die alte Systemsteuerung (control.exe)

Share this post


Link to post
Share on other sites
vor 38 Minuten schrieb NorbertFe:

2019 is an manchen Stellen einfach buggy. Sieht man daran, dass man das Netzwerk- und Freigabecenter nicht über das Netzwerksymbol öffnen kann, aber wohl über die alte Systemsteuerung (control.exe)

Ist das bei 2016 nicht auch schon?

Share this post


Link to post
Share on other sites

Danke, UAC war das passende Stichwort.:lool:

Hier die "Lösung", auch wenns mehr nach einem Workarround aussieht, denn ein Domainadmin der keine Adminrechte hat, kann wohl kaum gewollt sein:

Zitat

 

Elevated command prompt, run gpedit.msc

Navigate to Computer Configuration->Windows Settings->Security Settings->Local Policies->Security Options

Enable "User Account Control: Admin Approval Mode for the Built-in Administrator account"

Reboot and try again.

Not sure exactly why, but this fixes the issue for me.

Quelle: https://community.spiceworks.com/canonical_answer_pages/136578-server-2019-upgrade-domain-administrator-missing-rights

 

Bei mir war diese Einstellung unkonfiguriert.

vor 57 Minuten schrieb NorbertFe:

2019 is an manchen Stellen einfach buggy. Sieht man daran, dass man das Netzwerk- und Freigabecenter nicht über das Netzwerksymbol öffnen kann, aber wohl über die alte Systemsteuerung (control.exe)

Ist damit auch "behoben". :thumb1:

Edited by Zebbi

Share this post


Link to post
Share on other sites
2 minutes ago, Zebbi said:

Hier die "Lösung", auch wenns mehr nach einem Workarround aussieht, denn ein Domainadmin der keine Adminrechte hat kann wohl kaum gewollt sein:

Doch. Man möchte nicht das der Domänenadmin auf Clients und Servern Admin Rechte hat. Der ist dafür da die Domäne zu administrieren und nicht die Clients und Server!

Share this post


Link to post
Share on other sites
vor 7 Minuten schrieb Dukel:

Doch. Man möchte nicht das der Domänenadmin auf Clients und Servern Admin Rechte hat. Der ist dafür da die Domäne zu administrieren und nicht die Clients und Server!

Mag im Enterpriseumfeld durchaus berechtigt sein, aber für den Mittelstand etwas unpraktikabel.

Edited by Zebbi

Share this post


Link to post
Share on other sites
vor 11 Minuten schrieb Zebbi:

Danke, UAC war das passende Stichwort.

Ich weiß, denn deine genannte Policy kenne ich auch, habe das aber absichtlich nicht so konfiguriert, sondern gehe jetzt eben den anderen Weg zur Netzwerkkonfiguration.

Share this post


Link to post
Share on other sites
14 minutes ago, Zebbi said:

Mag im Enterpriseumfeld durchaus berechtigt sein, aber für den Mittelstand etwas unpraktikabel.

Sicherheit ist immer unpraktikabel (besser wäre komplizierter oder umständlicher!). Aber auch im Mittelstand kann Sicherheit wichtig sein.

Share this post


Link to post
Share on other sites
Gerade eben schrieb Dukel:

Sicherheit ist immer unpraktikabel (besser wäre komplizierter oder umständlicher!). Aber auch im Mittelstand kann Sicherheit wichtig sein.

Klar, da rennst du bei mir offene Türen ein. :) Aber wenn das praktisch schon ein Sicherheitsproblem darstellt willst Du die anderen gar nicht hören. ;) :(

 

Share this post


Link to post
Share on other sites
Am 15.5.2019 um 11:14 schrieb Zebbi:

Hier die "Lösung", auch wenns mehr nach einem Workarround aussieht, denn ein Domainadmin der keine Adminrechte hat, kann wohl kaum gewollt sein:

Quelle: https://community.spiceworks.com/canonical_answer_pages/136578-server-2019-upgrade-domain-administrator-missing-rights

 

Bei mir war diese Einstellung unkonfiguriert.

 

Ich hab den Rest des Threads noch nicht gelesen, aber 2 Tipps zu UAC:

 

1. Apps funktionieren nicht, wenn UAC aus ist. Da fällt die ganze zugrunde liegende Architektur auf die Nase

2. Nicht mit dem Builtin Admin arbeiten. Leg Dir einen dafür an und arbeite mit dem.

Am 15.5.2019 um 11:47 schrieb Zebbi:

Aber wenn das praktisch schon ein Sicherheitsproblem darstellt willst Du die anderen gar nicht hören. ;) :(

Ja, das tut es. Per Default werden 10 Anmeldungen zwischengespeichert, d.h. der Kennworthash dieser Anmeldungen kann aus der Registry extrahiert werden, wenn man SYSTEM oder Admin auf dem Client ist. Und gerade im SoHo-Bereich ist da fast immer ein DomAdmin dabei, weil der die Clients von Hand "fertig schleift" :-)

 

Wir hatten gerade erst wieder einen Vorfall im Kundenbereich - die Einschläge kommen näher, und sie werden heftiger (=teurer). Haben viele noch nicht realisiert...

Share this post


Link to post
Share on other sites

Stimmt...

 

Also als Lösung eine Gruppenrichtlinie auf eine OU in der nur Clients sind die einem Domänenuser X lokale Adminrechte einräumt, dessen Passwort sich täglich ändert, damit ich auf den Clients einen definierten User für Wartungszwecke hab?

 

Kann man das Cachen der Credentials eigentlich für bestimmte Accounts deaktivieren?  Dann wäre das Problem ja behoben....

 

 

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...