Windows 10 : 권한이없는 AD 도메인 관리자?


11

어쩌면 내 제목이 정확하지 않지만이 시점에서 다른 이름을 지정하는 방법을 모르겠습니다.

기본 AD 도메인 관리자 계정으로 Windows 10 컴퓨터에 로그인하면 언어 설정 앱을 시작할 때 오류 메시지가 나타납니다.

(내 Windows는 다른 언어이므로 영어의 실제 문자열이 아니라 내 번역입니다.)

  c:\windows\system32\SystemSettingsAdminFlows.exe   
  Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item.

변경 사항을 제대로 적용하고 저장할 수있는 것처럼 보이며 적어도 5-6 번 오류 메시지를 계속 클릭해야합니다.

동일한 컴퓨터에서 로컬 관리자 계정으로 로그인하면이 문제가 나타나지 않습니다.

로컬 관리자 그룹을 확인했는데 AD 도메인 관리자가 그 일부입니다. 그리고 나는 그렇지 않으면 거의 모든 것을 할 수 있습니다.

나는 여기서 좋은 질문을 제공 할 수 없으며, 무슨 일이 일어나고 있으며 구성에서 무언가를 놓친 경우를 이해하고 싶습니다.

최신 정보:

C:\Users\Administrator>icacls c:\windows\System32\SystemSettingsAdminFlows.exe
c:\windows\System32\SystemSettingsAdminFlows.exe NT SERVICE\TrustedInstaller:(F)
                                                 VORDEFINIERT\Administratoren:(RX)
                                                 NT-AUTORITÄT\SYSTEM:(RX)
                                                 VORDEFINIERT\Benutzer:(RX)
                                                 ZERTIFIZIERUNGSSTELLE FÜR ANWENDUNGSPAKETE\ALLE ANWENDUNGSPAKETE:(RX)

1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.

C:\Users\Administrator>whoami /groups

GRUPPENINFORMATIONEN
--------------------

Gruppenname                                          Typ             SID                                           Attribute
==================================================== =============== ============================================= ================================================================================
Jeder                                                Bekannte Gruppe S-1-1-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Benutzer                                Alias           S-1-5-32-545                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Administratoren                         Alias           S-1-5-32-544                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer
NT-AUTORITÄT\INTERAKTIV                              Bekannte Gruppe S-1-5-4                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
KONSOLENANMELDUNG                                    Bekannte Gruppe S-1-2-1                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Authentifizierte Benutzer               Bekannte Gruppe S-1-5-11                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Diese Organisation                      Bekannte Gruppe S-1-5-15                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
LOKAL                                                Bekannte Gruppe S-1-2-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Group Policy Creator Owners                   Gruppe          S-1-5-21-1731680816-2417063338-1172291106-520 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Denied RODC Password Replication Group        Alias           S-1-5-21-1731680816-2417063338-1172291106-572 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Enterprise Admins                             Gruppe          S-1-5-21-1731680816-2417063338-1172291106-519 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Schema Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-518 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Domain Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-512 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe Bezeichnung     S-1-16-12288

icacls c:\windows\system32\SystemSettingsAdminFlows.exe및 의 출력을 포함 할 수 있습니까 whoami /groups?
Greg Askew

이 정보를 포함하도록 질문을 업데이트했습니다. 독일어로되어 있지만 대부분 설명이 필요합니다. "Vordefiniert"는 "사전 정의 된"을 의미하며 아마도 "Builtin"으로 번역됩니다.
vic

해당 권한 및 관리자 그룹 멤버쉽은 괜찮습니다. 어떤 빌드를 가지고 ver있습니까 (명령을 실행)? 해당 계정의 프로필을 삭제하고 다시 로그온하여 실행 해보십시오.
Greg Askew

Ver은 10.0.10240입니다. 방금 새로 배포 된 Win10 컴퓨터를 도메인에 가입시키고 (도메인) 관리자 계정으로 로그인했습니다. 같은 문제가 있습니다.
vic

응용 프로그램이 설치되지 않은 새로 설치 한 Windows에서 발생합니까?
Greg Askew

답변:


18

'사용자 계정 컨트롤'과 '내장 관리자'계정간에 문제가있는 것 같습니다. 나는 같은 문제가 있었고 이것이 나를 위해 일했다.

  1. 로컬 보안 정책 콘솔을 열려면 Win + R을 입력하고 'secpol.msc'를 입력하십시오.
  2. 보안 설정 트리에서 로컬 정책> 보안 옵션을여십시오.
  3. 기본 제공 관리자 계정에 대한 정책 : 사용자 계정 컨트롤 : 관리자 승인 모드를 찾아서 활성화하십시오.
  4. 로그 아웃-로그인!

이봐, 그 트릭을했다. 실제로 의미가 없지만 문제를 해결하는 또 다른 것입니다. 당신은 그것을 어떻게 생각 했습니까? 공식 출처와 상담 했습니까?
vic

2
다시 찾은 경우 답에 추가하는 것을 잊지 마십시오. 자세한 내용을 알고 싶습니다. 어쨌든 고마워! :)
vic

2
새로 설치 한 Windows 2016 Standard에서도 같은 내용이 있었으며이 문제도 해결되었습니다.
LPChip

1
그 이유는 일부 앱이 상승 모드에서 실행되지 않기 때문이라고 생각합니다. 이 옵션을 사용하지 않으면이 사용자가 실행 한 모든 앱이 상승합니다. 이 옵션을 사용하면 내장 관리자 (도메인 관리자)에 대해서도 UAC가 활성화되고 앱이 제대로 실행됩니다. 자신의 무릎을 쏘는 Microsoft 방식입니다.
SkyBeam

1
당신은 내 하루를 구했다! 😃🍻
Dominic Jonas

3

내가 관리하는 몇 대의 컴퓨터 에서이 문제가 발생했습니다. 누군가를 돕는 경우 :

  1. Windows 서버에서 Lite Touch 설치를 사용하여 Windows 10 (교육용 에디션)으로 처음부터 작성된 PC – 문제가 발생하지 않았습니다.

  2. Windows 8.1에서 LTI 빌드에 사용 된 것과 정확히 동일한 소스 미디어 인 Windows 10 (교육용 에디션)으로 업그레이드 된 일부 PC (모든!?) PC에서 문제가 발생했습니다. 내가 지금까지 볼 수있는 유일한 패턴은 문제가있는 PC가 Surface Pro 2s-문제를 나타내지 않은 PC는 Surface Pro 3s-드라이버 / 펌웨어와는 별도로 두 가지 유형 사이의 차이입니다. -두 가지 유형의 업그레이드 빌드는 동일하므로 매우 이상합니다.

  3. 또한 문제가없는 Windows 10 Pro에서 몇 가지 업그레이드를 수행했지만 모두 Surface Pro 3이며 유용한 기능을 추가하기에 충분하지 않았습니다.

  4. 영어 메시지는 :

Windows가 지정된 장치, 경로 또는 파일에 액세스 할 수 없습니다. 항목에 액세스 할 수있는 적절한 권한이 없을 수 있습니다.

  1. 개별 컴퓨터에서 로컬 보안 정책을 사용하는 대신 컴퓨터 구성 / 정책 / Windows 설정 / 보안 설정 / 로컬 정책 / 보안 옵션에서 동일한 정책 설정으로 도메인 그룹 정책을 사용할 수 있습니다.

환경에서 uac Amin 승인 모드를 수행하지 않으면 큰 보안 허점이 열립니다.
Jim B

내가 이것을 이해하기 위해 고군분투하고 있다고 말해야합니다. 사용이 더 제한적이어야합니까? 정책 설명 : "이 정책 설정은 기본 제공 관리자 계정에 대한 관리 승인 모드의 동작을 제어합니다. 옵션은 다음과 같습니다. • 사용 : 기본 제공 관리자 계정이 관리 승인 모드를 사용합니다. 기본적으로 필요한 모든 작업 권한 상승은 사용자에게 작업을 승인하라는 메시지를 표시합니다. • 사용 안 함 : (기본값) 기본 제공 Administrator 계정은 모든 응용 프로그램을 전체 관리 권한으로 실행합니다. "
David Nutting

@ Jim B,이 솔루션으로 위험에 대한 자세한 정보를 제공 할 수 있습니까? @ David Nutting과 마찬가지로 솔루션을 찾았지만 100 % 이유를 이해할 수 없습니다. 내 관점에서 볼 때 그것은 Windows 버그이지만 다시 한 번 확실하지 않습니다.
HEDMON

-2

처음으로 로그인하기 전에 제어 판넬 / 사용자 계정에서 관리자 권한으로 사용자를 정의하면 새로운 Win10 애플릿이 작동합니다.


잘 모르겠습니다. 관리자 권한이있는 로컬 계정이 있습니다. 처음에 설치하는 데 사용했습니다.
vic
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.