none
Benutzerkontensteuerung: Verwendung des Administratorgenehmigungsmodus für das integrierte Administratorkonto RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Hi Community,

    ich sitze gerade staunend vor einem Problem, mit dem ich als Domänen Administrator auf einer Windows 10 Maschine gegen die Wand gelaufen bin. Um es vorweg zu nehmen, die Lösung dazu hab ich aber kapiert ich sie nicht. Vielleicht kann mir jemand das erklären.

    Das Problem war, dass ich zB bei dem Versuch die Icons für Arbeitsplatz etc. auf dem Desktop anzeigen zu lassen mit folgender Fehlermeldung konfrontiert wurde:

    Die ergoogelte Lösung war dann folgende gewesen: Im gpedit folgende Einstellung sei zu aktivieren: "Computerkonfiguration -> Windows Einstellungen ->  Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen -> Benutzerkontensteuerung: Verwendung des Administratorgenehmigungsmodus für das integrierte Administratorkonto"

    Danach funktioniert auch alles wunderbar aber wieso dass so ist, habe ich nicht verstanden. In der Erklärung der Richtlinie steht:

    "Deaktiviert (Standardeinstellung): Im integrierten Administratorkonto werden alle Anwendungen mit vollständigen Administratorrechten ausgeführt".

    Sollte der ganze Hokuspokus stimmen, hätte es mit dieser Einstellung ja schon von vornherein gehen müssen, denn die Aktivierung dieser Einstellung besagt:

    "Aktiviert: Für das integrierte Administratorkonto wird der Administratorgenehmigungsmodus verwendet. Standardmäßig wird der Benutzer bei jedem Vorgang, der erhöhte Rechte erfordert, zur Genehmigung des Vorgangs aufgefordert."

    Des Weiteren geht es in dieser Einstellung ja auch noch um den Build In Administrator, was der Domänenadministrator ja grundsätzlich mal gar nicht ist.

    Ist das ein Bug oder wie kommt es zu so einer Lösung, die augenscheinlich so gar nichts mit dem eigentlichen Problem zu tun hat?

    Thx & Bye Tom

    Mittwoch, 12. Oktober 2016 09:01
    |

Alle Antworten

  • Discussion
    Anmelden
    1
    Anmelden
    Am 12.10.2016 um 11:01 schrieb Thomas Pronto Wildgruber:
    > Das Problem war, dass ich zB bei dem Versuch die Icons für
    > Arbeitsplatz etc. auf dem Desktop anzeigen zu lassen mit folgender
    > Fehlermeldung konfrontiert wurde:
     
    Wenn es sich um den Desktop für "All Users" handelt ist die
    Fehlermeldung ok.
    "All USers" dürfen nur Administratoren schreiben, deine explorer.exe
    läuft aber aufgrund der UAC nur als Benutzer und bräuchte eine Elevation.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    Mittwoch, 12. Oktober 2016 09:25
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Servus Mark,

    >Wenn es sich um den Desktop für "All Users" handelt ist die Fehlermeldung ok.

    Nein, es handelte sich um den Desktop des angemeldeten Domänen Admins. Zum anderen hat eine völlig am Problem vorbei beschriebene Einstellung das Ganze dann behoben...

    Thx & Bye Tom

    Mittwoch, 12. Oktober 2016 09:45
    |
  • Discussion
    Anmelden
    1
    Anmelden
    Moin,
     
    Am 12.10.2016 um 11:45 schrieb Thomas Pronto Wildgruber:
    > Nein, es handelte sich um den Desktop des angemeldeten Domänen Admins.
     
    Sicher? erstelle mal einen Link nicht auf dem Desktop sondern in
    %userprofile%\Desktop und dann einen in C:\Users\Public\Desktop
     
    Es ist gut möglich das die PC Settings dort den falschen Ordner
    adressieren, das ist großer BetaSumpf.
     
    > Zum anderen hat eine völlig am Problem vorbei beschriebene Einstellung
    > das Ganze dann behoben...//
     
    Nee, es wäre schon der richtige Account, denn es geht um den mit der RID
    -500 und das ist der lokale Administrator und das Default Domänen
    Adminkonto.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    Mittwoch, 12. Oktober 2016 09:59
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Servus Mark,

    >Sicher? erstelle mal einen Link nicht auf dem Desktop sondern in %userprofile%\Desktop und dann einen in C:\Users\Public\Desktop

    Sicher, dass wir vom gleichen reden? Ich meinte jetzt nicht irgendein Icon auf dem Desktop, sondern das Systemsteuerungselement "Desktopsymboleinstellungen" (Zum anzeigen zB des Arbeitsplatzes auf dem Desktop) erzeugt beim Versuch des Öffnens bereits den Fehler...

    Thx & Bye Tom

    Mittwoch, 12. Oktober 2016 10:18
    |
  • Discussion
    Anmelden
    1
    Anmelden
    Hi,
     
    Am 12.10.2016 um 12:18 schrieb Thomas Pronto Wildgruber:
    > Sicher, dass wir vom gleichen reden? Ich meinte jetzt nicht
    > irgendein Icon auf dem Desktop, sondern das Systemsteuerungselement
    > "Desktopsymboleinstellungen" (Zum anzeigen zB des Arbeitsplatzes auf
    > dem Desktop) erzeugt beim Versuch des Öffnens bereits den Fehler...
     
    Normalerweise ist das nur ein Icon auf dem Desktop, daß über diesen
    RegKey gesteuert wird:
     
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
     
    aber auch per Policy möglich ist:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum
    {GUID des Items}=0
     
    0 = anzeigen
    1 = nicht anzeigen
     
    Das ist jetzt auch der Grund, warum es nicht geht :-) Ich behaupte mal,
    das die PC Einstellungen den zweitgenantnen Pfad schreiben wollen und
    der ist geschützt vor Benutzer Manipulation, das ist schliesslich der
    Richtlinien Speicherort.
     
    Nimm mal ein Reg Compare Tool und schau, welcher der beiden Werte
    geändert wird. Meiner Logik nach müsste es der zweite sein und das wäre
    dann ein Bug, denn ein Benutzer könnte das dann nie ändern ...
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    Mittwoch, 12. Oktober 2016 11:11
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Servus Mark,

    >Das ist jetzt auch der Grund, warum es nicht geht :-) Ich behaupte mal, das die PC Einstellungen den zweitgenantnen Pfad schreiben wollen und der ist geschützt vor Benutzer Manipulation, das ist schliesslich der Richtlinien Speicherort.

    Früher hab ich zwei Registry Exports mit fc verglichen, wenn ich mich recht entsinne aber das liefert mir jetzt keine sinnvollen Ergebnisse mehr. Ich hab jetzt ein Tool verwendet, welches Registry Snapshots vergleichen kann, folgendes zurückbekommen, wenn ich das "Arbeitsplatz" und "Eigene Dateien" Icon eingeblendet habe:

    Regshot 1.9.0 x64 Unicode
Comments: 
Datetime: 2016/10/12 13:07:20  ,  2016/10/12 13:07:40
Computer: ORION , ORION
Username: Administrator , Administrator

----------------------------------
Keys deleted: 1
----------------------------------
HKU\S-1-5-21-873888364-1138832615-1381041710-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SessionInfo\1\ApplicationViewManagement\W32:000000000032034E

----------------------------------
Values deleted: 1
----------------------------------
HKU\S-1-5-21-873888364-1138832615-1381041710-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SessionInfo\1\ApplicationViewManagement\W32:000000000032034E\VirtualDesktop:  10 00 00 00 30 30 44 56 C4 4B 50 CF 91 BF D7 41 85 4C 05 CE 12 13 23 DC

----------------------------------
Values modified: 8
----------------------------------
HKU\S-1-5-21-873888364-1138832615-1381041710-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{59031a47-3f72-44a7-89c5-5595fe6b30ee}: 0x00000001
HKU\S-1-5-21-873888364-1138832615-1381041710-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{59031a47-3f72-44a7-89c5-5595fe6b30ee}: 0x00000000
HKU\S-1-5-21-873888364-1138832615-1381041710-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{20D04FE0-3AEA-1069-A2D8-08002B30309D}: 0x00000001
HKU\S-1-5-21-873888364-1138832615-1381041710-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{20D04FE0-3AEA-1069-A2D8-08002B30309D}: 0x00000000
HKU\S-1-5-21-873888364-1138832615-1381041710-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{59031a47-3f72-44a7-89c5-5595fe6b30ee}: 0x00000001
HKU\S-1-5-21-873888364-1138832615-1381041710-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{59031a47-3f72-44a7-89c5-5595fe6b30ee}: 0x00000000
HKU\S-1-5-21-873888364-1138832615-1381041710-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{20D04FE0-3AEA-1069-A2D8-08002B30309D}: 0x00000001
HKU\S-1-5-21-873888364-1138832615-1381041710-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{20D04FE0-3AEA-1069-A2D8-08002B30309D}: 0x00000000

    (Habe jetzt nur den relevanten Teil kopiert)

    Demnach scheint sich das schon in diesem Teil der Registry abzuspielen, der vom Benutzer editierbar wäre.

    Während ich das ganze so durchgetestet habe, ist mir aber noch gekommen, dass das Problem ja erst mal noch gar nichts mit dem Ändern der Desktop Icons zu tun hat. Das Problem tritt ja schon auf, wenn man nur den Dialog zu Ändern der Desktop Icons aufruft. Genau wie übrigens auch ein Klick im selben Fenster auf "Erweiterte Soundeinstellungen" oder "Mauszeigereinstellungen" eben alles was unter "Designs" angeboten wird.

    Ich denke das ist einfach nur ein Bug. Eine andere sinnvolle Erklärung fällt mir nicht ein, wobei es für die Doku schon charmant gewesen wäre, auch eine Ursache nennen zu können. Denn als sinnvolle Standardeinstellung erscheint mir das nicht... ;-)

    Thx & Bye Tom

    Mittwoch, 12. Oktober 2016 13:29
    |