none
Plötzlich keine Berechtigungen von Domain-Admins auf einigen Systemen RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    nachdem ich eine VM zwangsläufig neustarten musste, kann ich plötzlich mit keinem Domain-Admin Account mehr vollständige Zugriffsrechte auf einigen Rechnern erhalten. Insbesondere werden neue Rechner und neue Adminuser alle so angelegt.

    GPOs mit veränderten Security-Settings wurden mittlerweile alle deaktiviert, es gibt also keine Beschränkungen die falsch interpretiert werden könnten!

    Im Event-Log tauchen auf betroffenen Rechnern häufig cryptische Fehler auf die sich auf den nicht-start einer Komponente "unknown" durch "unknown service id" verweisen (Bombenfehlermeldung - EventViewer ruleZ).

    Es ist kein (!) Problem mit NTFS-Berechtigungen oder dergleichen, diese sind auf allen Rechnern (ob betroffen oder nicht), die gleichen!

    Auch scheinen MMC und diverse graphische Tools durchaus zu erkennen dass es sich um einen Admin handelt.

    z.B. lässt sich auf einem WDS-Server mittels MMC alles normal konfigurieren, mittels WDSUTIL bekomme ich eine "could not authenticate account" Meldung!

    Mittwoch, 15. März 2017 11:22
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden
    > BUILTIN\Administrators                     Alias            S-1-5-32-544                                  Group used for deny only
     
    UAC aktiviert.
     
    > BUILTIN\Administrators                     Alias            S-1-5-32-544                                  Mandatory group, Enabled by default, Enabled group, Group owner
     
    UAC nicht aktiviert (oder als Admin ausgeführt).
     
     
    • Als Antwort markiert roboplotZ Freitag, 17. März 2017 15:37
    Freitag, 17. März 2017 12:16
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hi,
     
    Am 15.03.2017 um 12:22 schrieb roboplotZ:
    > nachdem ich eine VM zwangsläufig neustarten musste, kann ich plötzlich
    > mit keinem Domain-Admin Account mehr vollständige Zugriffsrechte auf
    > einigen Rechnern erhalten.
     
    d.h. dein Account ist nicht mehr in der Gruppe der lokalen
    Administratoren oder ist er noch drin?
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Mittwoch, 15. März 2017 12:28
    |
  • Question
    Anmelden
    0
    Anmelden
    In meiner lokalen Admingruppe ist die Gruppe "Domain Admins" enthalten, also sollten die entsprechenden Accounts auch dabei sein.
    Mittwoch, 15. März 2017 15:14
    |
  • Question
    Anmelden
    0
    Anmelden
    > In meiner lokalen Admingruppe ist die Gruppe "Domain Admins" enthalten, also sollten die entsprechenden Accounts auch dabei sein.
     
    "mode con cols=200 & whoami /groups"
     
    Klingt aber bissele nach Kerberos-Problem - "klist tickets" alles plausibel? Sonst kommt NTLM-Fallback...
     
    Mittwoch, 15. März 2017 15:42
    |
  • Question
    Anmelden
    0
    Anmelden

    Hier der Output eines betroffenen Rechners:

    GROUP INFORMATION
-----------------

Group Name                                 Type             SID                                           Attributes
========================================== ================ ============================================= ===============================================================
Everyone                                   Well-known group S-1-1-0                                       Mandatory group, Enabled by default, Enabled group
BUILTIN\Users                              Alias            S-1-5-32-545                                  Mandatory group, Enabled by default, Enabled group
BUILTIN\Administrators                     Alias            S-1-5-32-544                                  Group used for deny only
NT AUTHORITY\INTERACTIVE                   Well-known group S-1-5-4                                       Mandatory group, Enabled by default, Enabled group
CONSOLE LOGON                              Well-known group S-1-2-1                                       Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users           Well-known group S-1-5-11                                      Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization             Well-known group S-1-5-15                                      Mandatory group, Enabled by default, Enabled group
LOCAL                                      Well-known group S-1-2-0                                       Mandatory group, Enabled by default, Enabled group
Contoso\Domain Admins                      Group            S-1-5-21-892167675-1018257373-3322703066-512  Group used for deny only
Mandatory Label\Medium Mandatory Level     Label            S-1-16-8192

    Hier der Output eines nicht betroffenen:

    GROUP INFORMATION
-----------------

Group Name                                 Type             SID                                           Attributes
========================================== ================ ============================================= ===============================================================
Everyone                                   Well-known group S-1-1-0                                       Mandatory group, Enabled by default, Enabled group
BUILTIN\Users                              Alias            S-1-5-32-545                                  Mandatory group, Enabled by default, Enabled group
BUILTIN\Administrators                     Alias            S-1-5-32-544                                  Mandatory group, Enabled by default, Enabled group, Group owner
NT AUTHORITY\NETWORK                       Well-known group S-1-5-2                                       Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users           Well-known group S-1-5-11                                      Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization             Well-known group S-1-5-15                                      Mandatory group, Enabled by default, Enabled group
Contoso\Domain Admins                      Group            S-1-5-21-892167675-1018257373-3322703066-512  Mandatory group, Enabled by default, Enabled group
Mandatory Label\High Mandatory Level       Label            S-1-16-12288

    Es scheint ein Problem mit den Attributes zu geben wie es sich hier darstellt, schon einmal ein guter Ansatz!!!

    klist tickets gibt nichts verdächtiges aus (aus meiner Sicht).

    Wie kann dieser Attribute-Config Change zustandegekommen sein und wie fixe ich das?

    Freitag, 17. März 2017 11:42
    |
  • Question
    Anmelden
    1
    Anmelden
    > BUILTIN\Administrators                     Alias            S-1-5-32-544                                  Group used for deny only
     
    UAC aktiviert.
     
    > BUILTIN\Administrators                     Alias            S-1-5-32-544                                  Mandatory group, Enabled by default, Enabled group, Group owner
     
    UAC nicht aktiviert (oder als Admin ausgeführt).
     
     
    • Als Antwort markiert roboplotZ Freitag, 17. März 2017 15:37
    Freitag, 17. März 2017 12:16
    |
  • Question
    Anmelden
    0
    Anmelden

    Ja wirklich, das war es! Meine Interpretation der UAC-Settings in den GPOs war falsch!

    Setting "Admin Approval Mode" überall rausgenommen und es klappt (nach mehrmaligem Neustarten!)

    Danke für die kompetente Hilfe!

    Freitag, 17. März 2017 15:37
    |