none
All domain Admins Members Lost Permission except one member after upgrade to 2012 R2

    Question

  • Hello ,


    After upgrading our server 2012 to 2012 R2 we met this problem: 

    All Domain Admins Members Lost their permissions  except one member .

    I check that the permissions in the security tab for all theses members and the inheritance is working . So each member has the appropriate adminstrator permissions correctly .

    it's a stange problem .

    Any idea Please 

    Regards


    • Edited by azuriste Monday, February 20, 2017 4:43 PM
    Monday, February 20, 2017 4:42 PM

All replies

  • Hi

     How many DC you have?Also check the replicaton and dc healths...

    run; "repadmin /replsum","dcdiag" also check one of a  problematic admins groups "whoami /groups"...(check already in administortors group.)


    This posting is provided AS IS with no warranties or guarantees,and confers no rights. Best regards Burak Uğur

    Monday, February 20, 2017 5:15 PM
  • Hi,
    You could choose a problematic member account of domain admin group to move out it from this group, and then add it back to see if the permission is back.
    Best Regards,
    Wendy

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    Tuesday, February 21, 2017 8:49 AM
    Moderator
  • Hello , 

    I create a new one in the admin domain group for test and i had the same result .

    Burak Uğur :  we have 3 DCs

    Regards

    Tuesday, February 21, 2017 2:15 PM
  • run; "repadmin /replsum","dcdiag" also check one of a  problematic admins groups "whoami /groups"...(check already in administortors group.)


    Please share these results for analyse issue.

    This posting is provided AS IS with no warranties or guarantees,and confers no rights. Best regards Burak Uğur

    Wednesday, February 22, 2017 8:52 AM
  • ok this is the result of theses commands

    repadmin /replsum -->

    DSA source             différence max    nb échecs %%   erreur
     SRV-SI-DC-01              11m:27s    0 /  10    0
     SRV-SI-DC-02              11m:27s    0 /  10    0
     SRV-SI-DC-03              06m:24s    0 /  10    0


    DSA de destination     différence max    nb échecs %%   erreur
     SRV-SI-DC-01              06m:24s    0 /  10    0
     SRV-SI-DC-02                 :49s    0 /  10    0
     SRV-SI-DC-03              11m:27s    0 /  10    0

    dcdiag-->

    Diagnostic du serveur d'annuaire

    Exécution de l'installation initiale :
       Tentative de recherche de serveur associé...
       Serveur associé : SRV-SI-DC-01
       * Forêt AD identifiée.
       Collecte des informations initiales terminée.

    Exécution des tests initiaux nécessaires

       Test du serveur : SIEGE\SRV-SI-DC-01
          Démarrage du test : Connectivity
             ......................... Le test Connectivity
              de SRV-SI-DC-01 a réussi

    Exécution des tests principaux

       Test du serveur : SIEGE\SRV-SI-DC-01
          Démarrage du test : Advertising
             ......................... Le test Advertising
              de SRV-SI-DC-01 a réussi
          Démarrage du test : FrsEvent
             ......................... Le test FrsEvent
              de SRV-SI-DC-01 a réussi
          Démarrage du test : DFSREvent
             Erreurs ou avertissements détectés au cours des dernières 24 heures
             après le partage de SYSVOL. Des problèmes liés à l'échec de la
             réplication SYSVOL peuvent provoquer des problèmes de Stratégie de
             groupe.
             ......................... Le test DFSREvent
              de SRV-SI-DC-01 a réussi
          Démarrage du test : SysVolCheck
             ......................... Le test SysVolCheck
              de SRV-SI-DC-01 a réussi
          Démarrage du test : KccEvent
             ......................... Le test KccEvent
              de SRV-SI-DC-01 a réussi
          Démarrage du test : KnowsOfRoleHolders
             ......................... Le test KnowsOfRoleHolders
              de SRV-SI-DC-01 a réussi
          Démarrage du test : MachineAccount
             ......................... Le test MachineAccount
              de SRV-SI-DC-01 a réussi
          Démarrage du test : NCSecDesc
             ......................... Le test NCSecDesc
              de SRV-SI-DC-01 a réussi
          Démarrage du test : NetLogons
             ......................... Le test NetLogons
              de SRV-SI-DC-01 a réussi
          Démarrage du test : ObjectsReplicated
             ......................... Le test ObjectsReplicated
              de SRV-SI-DC-01 a réussi
          Démarrage du test : Replications
             ......................... Le test Replications
              de SRV-SI-DC-01 a réussi
          Démarrage du test : RidManager
             ......................... Le test RidManager
              de SRV-SI-DC-01 a réussi
          Démarrage du test : Services
             ......................... Le test Services
              de SRV-SI-DC-01 a réussi
          Démarrage du test : SystemLog
             ......................... Le test SystemLog
              de SRV-SI-DC-01 a réussi
          Démarrage du test : VerifyReferences
             ......................... Le test VerifyReferences
              de SRV-SI-DC-01 a réussi


       Exécution de tests de partitions sur ForestDnsZones
          Démarrage du test : CheckSDRefDom
             ......................... Le test CheckSDRefDom
              de ForestDnsZones a réussi
          Démarrage du test : CrossRefValidation
             ......................... Le test CrossRefValidation
              de ForestDnsZones a réussi

       Exécution de tests de partitions sur DomainDnsZones
          Démarrage du test : CheckSDRefDom
             ......................... Le test CheckSDRefDom
              de DomainDnsZones a réussi
          Démarrage du test : CrossRefValidation
             ......................... Le test CrossRefValidation
              de DomainDnsZones a réussi

       Exécution de tests de partitions sur Schema
          Démarrage du test : CheckSDRefDom
             ......................... Le test CheckSDRefDom
              de Schema a réussi
          Démarrage du test : CrossRefValidation
             ......................... Le test CrossRefValidation
              de Schema a réussi

       Exécution de tests de partitions sur Configuration
          Démarrage du test : CheckSDRefDom
             ......................... Le test CheckSDRefDom
              de Configuration a réussi
          Démarrage du test : CrossRefValidation
             ......................... Le test CrossRefValidation
              de Configuration a réussi

       Exécution de tests de partitions sur OILANDGAS
          Démarrage du test : CheckSDRefDom
             ......................... Le test CheckSDRefDom
              de OILANDGAS a réussi
          Démarrage du test : CrossRefValidation
             ......................... Le test CrossRefValidation
              de OILANDGAS a réussi

       Exécution de tests d'entreprise sur OILANDGAS.ADDS
          Démarrage du test : LocatorCheck
             ......................... Le test LocatorCheck
              de OILANDGAS.ADDS a réussi
          Démarrage du test : Intersite
             ......................... Le test Intersite
              de OILANDGAS.ADDS a réussi

    whoami /groups

    Informations de groupe
    ----------------------

    Nom du groupe                                                        Type
           SID                                           Attributs

    ==================================================================== ===========
    ====== ============================================= ===========================
    =================================================
    Tout le monde                                                        Groupe bien
     connu S-1-1-0                                       Groupe obligatoire, Activé
    par défaut, Groupe activé
    BUILTIN\Administrateurs                                              Alias
           S-1-5-32-544                                  Groupe obligatoire, Activé
    par défaut, Groupe activé, Propriétaire du groupe
    BUILTIN\Utilisateurs                                                 Alias
           S-1-5-32-545                                  Groupe obligatoire, Activé
    par défaut, Groupe activé
    BUILTIN\Accès DCOM service de certificats                            Alias
           S-1-5-32-574                                  Groupe obligatoire, Activé
    par défaut, Groupe activé
    BUILTIN\Accès compatible pré-Windows 2000                            Alias
           S-1-5-32-554                                  Groupe obligatoire, Activé
    par défaut, Groupe activé
    AUTORITE NT\REMOTE INTERACTIVE LOGON                                 Groupe bien
     connu S-1-5-14                                      Groupe obligatoire, Activé
    par défaut, Groupe activé
    AUTORITE NT\INTERACTIF                                               Groupe bien
     connu S-1-5-4                                       Groupe obligatoire, Activé
    par défaut, Groupe activé
    AUTORITE NT\Utilisateurs authentifiés                                Groupe bien
     connu S-1-5-11                                      Groupe obligatoire, Activé
    par défaut, Groupe activé
    AUTORITE NT\Cette organisation                                       Groupe bien
     connu S-1-5-15                                      Groupe obligatoire, Activé
    par défaut, Groupe activé
    LOCAL                                                                Groupe bien
     connu S-1-2-0                                       Groupe obligatoire, Activé
    par défaut, Groupe activé
    OILANDGAS\Admins du domaine                                          Groupe
           S-1-5-21-2035378037-385046829-3799859574-512  Groupe obligatoire, Activé
    par défaut, Groupe activé
    OILANDGAS\G-Utilisateurs Serveur OPC                                 Groupe
           S-1-5-21-2035378037-385046829-3799859574-5245 Groupe obligatoire, Activé
    par défaut, Groupe activé
    OILANDGAS\Propriétaires créateurs de la stratégie de groupe          Groupe
           S-1-5-21-2035378037-385046829-3799859574-520  Groupe obligatoire, Activé
    par défaut, Groupe activé
    OILANDGAS\Organization Management                                    Groupe
           S-1-5-21-2035378037-385046829-3799859574-1110 Groupe obligatoire, Activé
    par défaut, Groupe activé
    OILANDGAS\Administrateurs de l'entreprise                            Groupe
           S-1-5-21-2035378037-385046829-3799859574-519  Groupe obligatoire, Activé
    par défaut, Groupe activé
    OILANDGAS\Administrateurs du schéma                                  Groupe
           S-1-5-21-2035378037-385046829-3799859574-518  Groupe obligatoire, Activé
    par défaut, Groupe activé
    Identité déclarée par une autorité d'authentification                Groupe bien
     connu S-1-18-1                                      Groupe obligatoire, Activé
    par défaut, Groupe activé
    OILANDGAS\Groupe de réplication dont le mot de passe RODC est refusé Alias
           S-1-5-21-2035378037-385046829-3799859574-572  Groupe obligatoire, Activé
    par défaut, Groupe activé, Groupe local
    Étiquette obligatoire\Niveau obligatoire élevé                       Nom
           S-1-16-12288



    Regards

    Wednesday, February 22, 2017 4:34 PM
  • Démarrage du test : DFSREvent
             Erreurs ou avertissements détectés au cours des dernières 24 heures
             après le partage de SYSVOL. Des problèmes liés à l'échec de la
             réplication SYSVOL peuvent provoquer des problèmes de Stratégie de
             groupe. >>> You should fix the sysvol replication issue on this problematic DC,check the article and perform D2/D4 restore procedure.

    https://support.microsoft.com/en-us/help/315457/how-to-rebuild-the-sysvol-tree-and-its-content-in-a-domain

    And also i guess there is problem on membership related account.(sorry but i don't understand your mother language.)

    OILANDGAS\Admins du domaine                                          Groupe
           S-1-5-21-2035378037-385046829-3799859574-512  Groupe obligatoire, Activé
    par défaut, Groupe activé >>>> Just there is an issue there cause seems to be problem on this user account.


    This posting is provided AS IS with no warranties or guarantees,and confers no rights. Best regards Burak Uğur

    Wednesday, February 22, 2017 7:19 PM
  • how can i fix  S-1-5-21-2035378037-385046829-3799859574-512 ?

    Regards

    Wednesday, February 22, 2017 9:20 PM
  • I think this is the SID regarding the name of each Group or User , in this case  the SID of Admin Domains is S-1-5-21-2035378037-385046829-3799859574-512 !
    Wednesday, February 22, 2017 9:23 PM
  • yes maybe group&user sid.

    Ok,when you create new account then add this to administrator group,it that works?


    This posting is provided AS IS with no warranties or guarantees,and confers no rights. Best regards Burak Uğur

    Thursday, February 23, 2017 7:29 AM
  • i added  new account and still have the same issue
    Thursday, February 23, 2017 1:09 PM
  • Hello ,

    is there an audit tool to campare the healty of groups and users Rights ?

    Regards

    Friday, February 24, 2017 8:42 AM
  • Démarrage du test : DFSREvent
             Erreurs ou avertissements détectés au cours des dernières 24 heures
             après le partage de SYSVOL. Des problèmes liés à l'échec de la
             réplication SYSVOL peuvent provoquer des problèmes de Stratégie de
             groupe. >>> You should fix the sysvol replication issue on this problematic DC,check the article and perform D2/D4 restore procedure.

    https://support.microsoft.com/en-us/help/315457/how-to-rebuild-the-sysvol-tree-and-its-content-in-a-domain

    Did you already fix the sysvol replication issue,first you should fix the dc health.Then AFAIK there is no tool specially verify for groups,But just check this one;

    https://technet.microsoft.com/en-us/library/cc772184%28v=ws.11%29.aspx?f=255&MSPPError=-2147217396#BKMK_1


    This posting is provided AS IS with no warranties or guarantees,and confers no rights. Best regards Burak Uğur

    Friday, February 24, 2017 6:07 PM
  • Hi,

    Was your issue resolved? If you resolved it using our solution, please "mark it as answer" to help other community members find the helpful reply quickly.

    If you resolve it using your own solution, please share your experience and solution here. It will be very beneficial for other community members who have similar questions. If no, please reply and tell us the current situation in order to provide further help.

    Best Regards,

    Wendy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    Wednesday, March 1, 2017 6:24 AM
    Moderator
  • Hello ,

    it not resolved yes .under investigation ...

    regards

    Thursday, March 2, 2017 9:15 PM
  • Hi,

    Ok, have you followed the suggestion of Burak? Any results? If you still have any questions, please feel free to contact us. Appreciate for your feedback.

    Best regards,

    Wendy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    Monday, March 6, 2017 1:55 AM
    Moderator