none
Utente Administrator (di dominio) senza permessi RRS feed

  • Domanda

  • Client: Windows 10 aggiornato alla 1607
    Server: windows 2008srv R2

    Dovendo fare un po' di operazioni su un client nuovo, ed essendo parte di un dominio, ho creato l'utente di dominio che utilizzerà la macchina ma ora devo procedere con l'installazine di tanti piccoli software e sinceramente non mi va di immettere sempre lo username e la password ad ogni installazione o modifica del sistema.
    Con windows 7 creavo l'utente "dominio\administrator" e da li installavo tutto per poi tornare all'account utente standard che faceva il suo lavoro.

    Ho provato a fare lo stesso con windows 10 ma (giusto per fare qualche esempio)
    - non accede neppure alla personalizzazione delle icone del desktop (vedi **)
    - nel menù start la maggioranza delle APP presenta la classica freccia verso il basso (tipo download per capirci)

    - anche Cortana se cerco "update" non mi trova neppure le impostazioni di windows update (che però funzionano normalmente se vi accedo dal pannello di controllo)

    Ho tentato:
    - un avvio pulito per capire se cambiasse qualcosa ma non c'è differenza.
    - un utente xxx LOCALE con privilegi di admin e tutto funziona perfettamente
    - un utente "adinistrator" DI DOMINIO su un altro PC e sembra funzionare

    Insomma è un profilo che sembra non avere dei permessi.
    ** in questo caso specifico succede una cosa strana.... se accedo alle impostazione dei temi sotto il menù "impostazioni correlate" ci sono 3 link.... NESSUNO dei 3 funziona restituendomi il seguente errore:
    C:\WINDOWS\system32\rundll32.exe
    impossibile accedere al dispositivo, al percorso o al file specificato. è probabile che non si disponga delle autorizzazioni necessarie.
    invece..... se accedo a "impostazioni del tema" e clicco su "cambia icone sul desktop" tutto funziona regolarmente.

    Attendo vostre news per "normalizzare" questo pc con qualche vostra soluzione vista la mia evidente incapacità.
    Grazie a tutti
    Bez

    venerdì 13 gennaio 2017 14:45

Risposte

  • L'account "Administrator di dominio non va mai utilizzato sul client in quanto una sua eventuale compromissione rappresenta un serio rischio per la sicurezza dell'intero dominio. Gli errori sono dovuti al fatto che questo account ha di default l'UAC disabilitato (in pratica è come se si trattasse dell'account Administrator nascosto degli ultimi sistemi Windows) e non ad una mancanza di permessi.
    Per risolvere il problema credo sia sufficiente creare sul dominio un altro account dotato di privilegi amministrativi o utilizzare direttamente l'account amministratore locale della macchina (in tal caso accedi inserendo "nomepc\" prima del nome dell'account locale amministratore).

    venerdì 13 gennaio 2017 14:58
    Moderatore

Tutte le risposte

  • L'account "Administrator di dominio non va mai utilizzato sul client in quanto una sua eventuale compromissione rappresenta un serio rischio per la sicurezza dell'intero dominio. Gli errori sono dovuti al fatto che questo account ha di default l'UAC disabilitato (in pratica è come se si trattasse dell'account Administrator nascosto degli ultimi sistemi Windows) e non ad una mancanza di permessi.
    Per risolvere il problema credo sia sufficiente creare sul dominio un altro account dotato di privilegi amministrativi o utilizzare direttamente l'account amministratore locale della macchina (in tal caso accedi inserendo "nomepc\" prima del nome dell'account locale amministratore).

    venerdì 13 gennaio 2017 14:58
    Moderatore
  • Ok quindi la pratica comune sarebbe installare e impostare la macchina come uente administrator LOCALE... e poi attivare un utente standard nel dominio che si ritroverà a disposizione i software installati localmente.

    Mentre per gli aggiornamenti di windows update come si procede in questi casi a livello di amministrazione di una rete non troppo grande?? (diciamo meno di 25 client)

    Conviene farli localmente e poi disabilitarli in modo che gli utenti di dominio non li facciano oppure è sempre consigliabile lasciare che tutti i client facciano aggiornamenti in modo indipendente??
    Perchè nel caso di W10 gli aggiornamenti sono un vero strazio come traffico e quando si accumulano gli aggiornamenti di molti client W10 la connesione va parecchio in crisi.

    Intanto Grazie infinite della dritta sugli utenti!!
    Bez
    lunedì 16 gennaio 2017 07:51
  • Per gli aggiornamenti la cosa migliore è implementare nella rete un server WSUS (quest'ultimo deve eseguire minimo Windows Server 2012 e deve essere preventivamente aggiornato: https://support.microsoft.com/it-it/kb/3095113 in caso contrario sarà possibile far eseguire il download solo degli aggiornamenti di sicurezza), in questo modo i file verranno scaricati una sola volta dal server per poi venire distribuiti ai client (diminuisce sensibilmente il traffico di rete). Inoltre in questo modo puoi decidere quali aggiornamenti far installare e quali no.
    Per l'installazione puoi decidere tu la strategia che meglio si adatta all'attività lavorativa: c'è chi disabilita del tutto il servizio Windows Update per poi far scaricare gli aggiornamenti dei client manualmente durante degli intervalli di manutenzione definiti, chi configura i client per il download automatico per poi far confermare all'utente l'installazione oppure chi fa eseguire download e installazione automaticamente bloccando però il riavvio automatico (più rischioso perché gli aggiornamenti "a metà" potrebbero portare a comportamenti imprevisti di Windows finché non vengono completati con un riavvio). Per gestire tutte queste ultime opzioni è sufficiente utilizzare le group policy di dominio.

    https://technet.microsoft.com/en-us/itpro/windows/manage/waas-manage-updates-wsus


    lunedì 16 gennaio 2017 09:03
    Moderatore
  • Utilizzando sul server w2008R2 quindi non posso utilizzare WSUS...??
    lunedì 16 gennaio 2017 10:04
  • Con WSUS in Windows Server 2008 R2 puoi solo far scaricare gli aggiornamenti di sicurezza per Windows 10. Quindi diciamo che non è una configurazione ottimale, se possibile sarebbe meglio eseguire un upgrade.
    lunedì 16 gennaio 2017 11:40
    Moderatore
  • Buonasera

    Anche io sono incappato in questo problema: Dominio Windows Server 2016 Standard e PC client Win 10 Pro 64bit. Quindi non funziona più come per i PC client Win 7 ? In quel caso era possibile accedere con l'account Administrator del Dominio e fare tutte le installazioni nonché aggiungere al PC l'utente Standard del Dominio che dovrà utilizzare il client.

    Mi può cortesemente confermare?

    Grazie per la cortesia e cordiali saluti.

    martedì 5 giugno 2018 17:22
  • Se ho interpretato bene l'affermazione, ti posso confermare che non è mai necessario aggiungere manualmente al computer client l'account utente standard di dominio in quanto questo avviene automaticamente tramite il dominio stesso. Questo avveniva in passato anche con Windows 7 e XP.
    Puoi eseguire l'accesso con l'account Administrator di dominio ma in tal caso con questo profilo tutte le App non funzioneranno, quindi potrebbe non essere possibile eseguire alcune operazioni.
    La procedura consigliata è quella di eseguire eventuali installazioni con l'account amministratore locale del computer (che di norma viene mantenuto anche dopo il join al dominio) o con un account di dominio contenuto nel gruppo degli amministratori locali.
    Infatti Windows 10, durante il wizard di join al dominio presente nel nuovo pannello Impostazioni > Account, già propone l'aggiunta di un account di dominio come amministratore proprio per evitare l'utilizzo improprio di account amministratori di dominio.
    venerdì 8 giugno 2018 20:36
    Moderatore