none
Perte de droit administrateur RRS feed

  • Discussion générale

  • Bonjour,

    Sur un serveur 2012 R2 dans un domaine, impossibilité de lancer les applications nécessitant des droits admin. J'utilise pourtant un compte admin.
    Idem avec un clic droit / exécuter en tant qu'administrateur...
    Idem en lançant directement l'exécutable et non à partir du raccourci.

    Le seul moyen de solutionner ce problème est de redémarrer le serveur. Compliquer avec ce serveur en production.

    Le message d'erreur est le suivant :

    Windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié.
    Vous ne disposez peut-être pas des autorisations appropriées pour pour avoir accès à l'élément.

    Ce serveur n'est pas le serveur AD, c'est un serveur de fichier et d'application.

    Merci à tous.

    mercredi 13 avril 2016 06:59

Toutes les réponses

  • Bonjour,

    Quelques infos sur l'emplacement de l'exécutable (chemin unc, lecteur mappé, ...) ?

    L'exécutable est lancé par une tâche planifiée ?

    En redémarrant le serveur ca fonctionne : ca ne fonctionne plus un certain temps après ? -> un service qui s'est arrêté ?

    Claude

    mercredi 13 avril 2016 07:59
  • Quelques infos sur l'emplacement de l'exécutable (chemin unc, lecteur mappé, ...) ?

    L'exécutable est lancé par une tâche planifiée ?

    En lançant l'application manuellement et directement à partir du dossier la contenant ça ne fonctionne pas non plus. Par exemple : c:\windows\system32\taskmgr.exe

    En redémarrant le serveur ca fonctionne : ca ne fonctionne plus un certain temps après ?

    Oui tout à fait

    un service qui s'est arrêté ?

    Non, je ne vois pas de service qui s'arrête
    • Modifié mfoucault mercredi 13 avril 2016 08:23
    mercredi 13 avril 2016 08:23
  • Bonjour,

    lorsque vous faîtes un clic droit sur votre disque et dans l'onglet "Sécurité" qu'elles sont les droits appliquées?

    Cordialement

    Emmanuel

    mercredi 13 avril 2016 08:29
  • lorsque vous faîtes un clic droit sur votre disque et dans l'onglet "Sécurité" qu'elles sont les droits appliquées ?

    En effet, je n'ai que des droits locaux du type : nom-server/administrateurs et nom-server/Utilisateurs
    Au lieu de domain/Administrateurs et  domain/Utilisateurs comme sur mes autres server 2012

    Je me pose donc 2 questions :

    • Comment rétablir proprement ces droits
    • Comment est ce possible que les droits soient fonctionnels après un redémarrage ?

    En tout les cas, bravo pour avoir mis le doigt dessus.


    • Modifié mfoucault mercredi 13 avril 2016 10:03
    mercredi 13 avril 2016 10:02
  • "En effet, je n'ai que des droits locaux du type : nom-server/administrateurs et nom-server/Utilisateurs
    Au lieu de domain/Administrateurs et  domain/Utilisateurs comme sur mes autres server 2012"

    C'est normal d'avoir monserveur\administrateurs. lors de la jonction au domaine le groupe admins du domaine est automatiquement ajoité à  monserveur\administrateurs et le groupe utilisateurs du domaines à  monserveur\utilisateurs

    ...

    mercredi 13 avril 2016 11:37
    Modérateur
  • Merci pour cette précision, malgré tout, sur tous les autres serveurs du domaine il y a

    domain/Administrateurs et  domain/Utilisateurs

    Cela ne me facilite pas, impossible de faire quoi que ce soit qui demande les droits admin, il n'est même pas demandé que je rentre mon login/mdp en cliquant sur "Exécuter en mode administrateur"

    • Modifié mfoucault mercredi 13 avril 2016 11:44
    mercredi 13 avril 2016 11:41
  • Les autres serveurs sont des contrôleurs de domaine ?
    mercredi 13 avril 2016 12:35
    Modérateur
  • Les autres serveurs sont des contrôleurs de domaine ?
    Oui
    mercredi 13 avril 2016 12:38
  • C'est pour cela que tu as domain\administrateurs en, tant que DC ils n'ont pas de SAM local donc pas de monserveur\administrateurs. L'équivalent de la SAm local est dans le conteneur builtin sur un DC.

    Du coup pas de lien avec ton problème.

    Tu as essayé le exécuter en tant qu'admin avec un autre exécutable (invite de commande ou autre ) ...

    mercredi 13 avril 2016 12:43
    Modérateur
  • essayé de faire un : sfc /scannow

    Cordialement

    Emmanuel

    mercredi 13 avril 2016 12:51
  • Voici un article qui pourrait vous aiguiller : https://support.microsoft.com/fr-fr/kb/2669244

    mercredi 13 avril 2016 12:57
  • Re,

    Quand ton serveur a été installé, il était hors domaine (en workgroup) donc au niveau des droits/securité tu n'avais que <nom serveur\administrateurs>.

    Une fois joint au domaine, tu dois avoir <nom de domaine\admins du domaine>

    Tu ouvres bien une session de domaine et pas locale ???

    Claude


    mercredi 13 avril 2016 13:13
  • Oui,  j'ouvre bien une session de domain

    Une chose que je remarque aussi, à partir d'un poste client via le gestionnaire de serveur/tous le serveurs, il est noté en erreur.

    Sur l'image, on voit bien que pour ce serveur, le gestionnaire indique "En ligne - Échec de récupération des données"

    Si je le redémarre, la récupération des donnés se fera correctement, tout comme les droits qui seront rétablis.

    Je ne pourrais faire la commande sfc /scannow que hors des horraires d'utilisation du serveur

    mercredi 13 avril 2016 14:00
  • Quand ton serveur a été installé, il était hors domaine (en workgroup) donc au niveau des droits/securité tu n'avais que <nom serveur\administrateurs>.

    Une fois joint au domaine, tu dois avoir <nom de domaine\admins du domaine>

    Non un serveur membre garde sa SAM local ainsi que les groupe "mon serveuradministrateurs", seul les DC voient les groupes modifiés !


    mercredi 13 avril 2016 14:51
    Modérateur
  • Non un serveur membre garde sa SAM local ainsi que les groupe "mon serveuradministrateurs", seul les DC voient les groupes modifiés !

    Merci pour cette précision. Je ne comprends pas comment d'un coup le serveur ne considère plus les admins du compte logué. Comme je disais, au démarrage dus serveur tout fonctionne bien, puis au bout d'un moment, les droits ne fonctionnent plus.

    • Modifié mfoucault jeudi 14 avril 2016 06:52
    jeudi 14 avril 2016 06:51
  • Tu as regardé si tu as des erreurs dans l'observateur d'événement du serveur au moment de l'éxécution ?


    jeudi 14 avril 2016 07:09
    Modérateur
  • Tu as regardé si tu as des erreurs dans l'observateur d'événement du serveur au moment de l'éxécution ?

    Alors je n'ai rien dans les logs quand je lance une application, par contre quand je me log sur le serveur en erreur je n'ai pas le privilège en gras

    Privilèges :

    SeSecurityPrivilege
    SeBackupPrivilege
    SeRestorePrivilege
    SeTakeOwnershipPrivilege
    SeDebugPrivilege
    SeSystemEnvironmentPrivilege
    SeLoadDriverPrivilege
    SeImpersonatePrivilege
    SeEnableDelegationPrivilege (par contre celui-ci est présent quand je me log sur le serveur AD)

    • Modifié mfoucault jeudi 14 avril 2016 08:35
    jeudi 14 avril 2016 08:17
  • Bonjour 

    1 - Vérifie qu'il n'y a pas un problème de décalage de l'heure entre le serveur en question et le Contrôleur de domaine. 

    2- execute RSOP.msc pour vérifier que les GPO s'applique sur le serveur. 

    3- quand le problème survient.  execute nltest /sc_query:domainname  pour voir si le sc est maintenu ou pas. 

    Cordialement. 

    jeudi 14 avril 2016 12:51
  • Bonjour 

    1 - Vérifie qu'il n'y a pas un problème de décalage de l'heure entre le serveur en question et le Contrôleur de domaine. 

    Non

    2- execute RSOP.msc pour vérifier que les GPO s'applique sur le serveur. 

    impossible de lancer cette application, j'ai le meme message.

    3- quand le problème survient.  execute nltest /sc_query:domainname  pour voir si le sc est maintenu ou pas. 

    c:\>nltest /sc_query:domainname
    Indicateurs : 30 HAS_IP  HAS_TIMESERV
    Nom du contrôleur de domaine approuvé \\nom-du-serveur.domainnaime
    Statut de la connexion du contrôleur de domaine approuvé Status = 0 0x0 NERR_Success
    La commande a été correctement exécutée

    jeudi 14 avril 2016 14:50
  • Re bonjour  


    ça m'a l'air d'un problème kerberos, mais avant d'aller plus loin. il faut savoir que le compte  du group "admin du domain" est ajouté par défaut dans le group administrateur local du serveur. donc,  ceci s'effectue par l'application des GPO. 

    si le group domain admin n'est pas membre du group local  administrateurs de votre serveur 2012, ça veut dire que les GPO ne se sont jamais exécutés  sur ton serveur, ou que quelqu'un a explicitement changé les gpos. si ce group est présent. donc le problème est ailleurs. 

    donc par rapport à votre message sur l'ACL du disque local. c'est normal; mais si le group domain admin est membre du group server\administrateurs, donc, il le droit d'y accéder. 

    2 point. 

    quand vous vous connectez à votre serveur en utilisant le compte "Administrateur" ou "administrator" pour la version anglaise, et ce sans spécifier explicitement le nom du domain, votre sessions sera en local, et donc, vous pouvez effectuer des tâches en local, mais surement pas des tâches qui requièrent les droits d'administrateur du domaine. 

    si les deux précédents points ne sont pas les causes de votre problème, il faut explorer plus profondément, verifie dans l'observateur d'évenment si vous n'avez pas des problème kerberos.

    executez la commande Klist  pour s'assurer que vous avez un TGT 

    Cordialement. 

    jeudi 14 avril 2016 15:59
  • Quand ton serveur a été installé, il était hors domaine (en workgroup) donc au niveau des droits/securité tu n'avais que <nom serveur\administrateurs>.

    Une fois joint au domaine, tu dois avoir <nom de domaine\admins du domaine>

    Non un serveur membre garde sa SAM local ainsi que les groupe "mon serveuradministrateurs", seul les DC voient les groupes modifiés !


    Très juste précision de Philippe. Toutes mes excuses pour cette "baffouille" !

    Claude

    jeudi 14 avril 2016 19:30