none
Доменный админ, добавленный в группу локальных администраторов, не имеет прав RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти

    Добрый день, столкнулись с такой проблемой:

    есть группа "Администраторы домена", она на серверах прописана в локальной группе "Администраторы" (через GPO). НО на некоторых серверах участники этой группы имеют права "пользователя" (причем числятся в администраторах). Подскажите, как можно исправить ситуацию?

    30 мая 2017 г. 7:32
    |

Все ответы

  • Question
    Нужно войти
    1
    Нужно войти

    >>Подскажите, как можно исправить ситуацию?

    Если не описать проблему подробно, то никак. Но можно еще и на UAC посмотреть сначала.

    MCSAnykey

    30 мая 2017 г. 7:40
    |
  • Question
    Нужно войти
    0
    Нужно войти

    UAC не причем, отключался и включался. Что подробнее описать?

    Windows Server 2012R2 + Terminal Role

    Домен 2012, лес 2012.

    30 мая 2017 г. 7:43
    |
  • Question
    Нужно войти
    1
    Нужно войти

    логофф\логон пробовали?

    при просмотре "whoami /groups" группа локальныхадминов присутствует в выводе?

    30 мая 2017 г. 7:49
    |
  • Question
    Нужно войти
    1
    Нужно войти

    >>Что подробнее описать?

    Описать то, что не работает или работает не так, как ожидается. В чем проявляется проблема-то?

    Ну и как выше советует Svolotch, первым делом перелогиниться - если вы ожидаете, что новые права у вас применятся в текущем сеансе - это немного не так, да.

    MCSAnykey


    30 мая 2017 г. 7:56
    |
  • Question
    Нужно войти
    0
    Нужно войти

    логон/логофф/ребут выполнялся

    whoami /groups:

    BUILTIN\Администраторы   Псевдоним   S-1-5-32-544   Группа, используемая только для запрета

    DOMAIN\Администраторы домена   Группа   S-1-5-21-574784187-xxx   Группа, используемая только для запрета

    30 мая 2017 г. 7:59
    |
  • Question
    Нужно войти
    1
    Нужно войти
    UAC точно отключен?

    Innovation distinguishes between a leader and a follower - Steve Jobs

    30 мая 2017 г. 8:09
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Интересно получается.

    На одном из серверов я могу перезагрузить систему, создать каталог там, где требуются админские права, но не могу выполнить secpol.msc.

    На другом secpol.msc могу вызвать, управлять приложениями (установка и удаление), но при этому не могу выключить или перезагрузить (отсутствуют пункты меню)

    30 мая 2017 г. 8:09
    |
  • Question
    Нужно войти
    1
    Нужно войти
    разные политики накатываются
    30 мая 2017 г. 8:13
    |
  • Question
    Нужно войти
    1
    Нужно войти
    есть группа "Администраторы домена", она на серверах прописана в локальной группе "Администраторы" (через GPO)
    а зачем вообще такое делать? доменные админы прописываются в локальные админы сразу, после ввода компа в домен...
    30 мая 2017 г. 8:19
    |
    Модератор
  • Question
    Нужно войти
    1
    Нужно войти
    Посмотрите обсуждение

    Innovation distinguishes between a leader and a follower - Steve Jobs

    30 мая 2017 г. 8:29
    |
  • Question
    Нужно войти
    0
    Нужно войти
    разные политики накатываются

    Политика одна
    30 мая 2017 г. 8:44
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Посмотрите обсуждение

    Innovation distinguishes between a leader and a follower - Steve Jobs


    дело не в UAC, на других серверах отрабатывает без проблем, локальные политики не применяются (проверено и сброшено через secedit для надежности)
    30 мая 2017 г. 8:46
    |
  • Question
    Нужно войти
    1
    Нужно войти

    логон/логофф/ребут выполнялся

    whoami /groups:

    BUILTIN\Администраторы   Псевдоним   S-1-5-32-544   Группа, используемая только для запрета

    DOMAIN\Администраторы домена   Группа   S-1-5-21-574784187-xxx   Группа, используемая только для запрета

    Group used for deny only - говорит о том что командная строка у вас запущена с урезанными UAC'ом привилегиями.

    Запустите командную строку принудительно через админа и попробуйте оттуда создать папку там где вы не можете создать. 

    30 мая 2017 г. 9:47
    |
  • Question
    Нужно войти
    0
    Нужно войти
    может есть еще варианты как сбросить настройки безопасности по дефолту? на втором компьютере при "Завершение работы" в терминальном режиме выскакивает "Операция отменена из-за ограничений, действующих на этом компьютере." Причем для других пользователей группы "Администраторы домена" это не распространяется.
    • Изменено Skok Oleg 30 мая 2017 г. 10:00
    30 мая 2017 г. 9:59
    |
  • Question
    Нужно войти
    0
    Нужно войти

    логон/логофф/ребут выполнялся

    whoami /groups:

    BUILTIN\Администраторы   Псевдоним   S-1-5-32-544   Группа, используемая только для запрета

    DOMAIN\Администраторы домена   Группа   S-1-5-21-574784187-xxx   Группа, используемая только для запрета

    Group used for deny only - говорит о том что командная строка у вас запущена с урезанными UAC'ом привилегиями.

    Запустите командную строку принудительно через админа и попробуйте оттуда создать папку там где вы не можете создать. 

    я в курсе, что он так пишет из-за UAC, каталоги я могу создавать, у меня нет прав на запуск MMC и управлением питанием

    30 мая 2017 г. 10:07
    |
  • Question
    Нужно войти
    1
    Нужно войти

    ну удостоверьтесь что вы через командную строку с повышенными привилегиями можете выполнять нужные действия. (mmc запускается одноименной командой(точнее mmc.exe, но расширение по сути можно и не писать), право на управление питанием можно глянуть через "whoami /priv", там должна присутствовать привилегия SeShutdownPrivilege)

    дальше ищете где и как в локальных и доменных политиках вы обрубали права и фиксите. Кстати в некоторых случаях некоторые политики могут не отображаться в GPMC, но это не значит что их там нет.

    30 мая 2017 г. 10:21
    |
  • Question
    Нужно войти
    0
    Нужно войти

    whoami /priv:

    SeShutdownPrivilege             Завершение работы системы                   Отключен

    Локальные политики сброшены на дефолтные. через GPO Параметры безопасности -> локальные политики не настраиваются. Самое смешное, что из группы серверов (одна OU), 2 ведут себя подобным образом.

    30 мая 2017 г. 10:33
    |
  • Question
    Нужно войти
    1
    Нужно войти

    >>SeShutdownPrivilege             Завершение работы системы                   Отключен

    ну значит команда shutdown из консольки с повышенными привилегиями должна отрабатывать.

    30 мая 2017 г. 10:52
    |
  • Question
    Нужно войти
    0
    Нужно войти

    не-а, системный администратор ограничил...

    P.S. досталось наследие от 33 однодневных админов...

    30 мая 2017 г. 10:56
    |
  • Question
    Нужно войти
    1
    Нужно войти

    зри в корень (с) Козьма Прутков

    SRP, не?

    30 мая 2017 г. 11:02
    |
  • Question
    Нужно войти
    0
    Нужно войти
    не, все отключено
    30 мая 2017 г. 11:08
    |
  • Question
    Нужно войти
    1
    Нужно войти
    а можно скрин тогда чтоль?
    30 мая 2017 г. 11:10
    |
  • Question
    Нужно войти
    0
    Нужно войти
    скрин чего именно?
    30 мая 2017 г. 11:27
    |
  • Question
    Нужно войти
    1
    Нужно войти
    чего пишет конкретно при попытке запустить тот же shutdown
    30 мая 2017 г. 11:29
    |
  • Question
    Нужно войти
    0
    Нужно войти
    После локального сброса настроек групповых политик и локальных политик безопасности восстановился профиль 1 (где была ошибка secpol.msc). На втором сервере из консоли могу отправить сервер в перезагрузку, но пункты меню и ALT+F4 не работают до сих пор
    30 мая 2017 г. 14:30
    |