none
Доменный админ, добавленный в группу локальных администраторов, не имеет прав RRS feed

  • Вопрос

  • Добрый день, столкнулись с такой проблемой:

    есть группа "Администраторы домена", она на серверах прописана в локальной группе "Администраторы" (через GPO). НО на некоторых серверах участники этой группы имеют права "пользователя" (причем числятся в администраторах). Подскажите, как можно исправить ситуацию?

Все ответы

  • >>Подскажите, как можно исправить ситуацию?

    Если не описать проблему подробно, то никак. Но можно еще и на UAC посмотреть сначала.


    MCSAnykey

  • UAC не причем, отключался и включался. Что подробнее описать?

    Windows Server 2012R2 + Terminal Role

    Домен 2012, лес 2012.

  • логофф\логон пробовали?

    при просмотре "whoami /groups" группа локальныхадминов присутствует в выводе?

  • >>Что подробнее описать?

    Описать то, что не работает или работает не так, как ожидается. В чем проявляется проблема-то?

    Ну и как выше советует Svolotch, первым делом перелогиниться - если вы ожидаете, что новые права у вас применятся в текущем сеансе - это немного не так, да.


    MCSAnykey


  • логон/логофф/ребут выполнялся

    whoami /groups:

    BUILTIN\Администраторы   Псевдоним   S-1-5-32-544   Группа, используемая только для запрета

    DOMAIN\Администраторы домена   Группа   S-1-5-21-574784187-xxx   Группа, используемая только для запрета

  • UAC точно отключен?

    Innovation distinguishes between a leader and a follower - Steve Jobs

  • Интересно получается.

    На одном из серверов я могу перезагрузить систему, создать каталог там, где требуются админские права, но не могу выполнить secpol.msc.

    На другом secpol.msc могу вызвать, управлять приложениями (установка и удаление), но при этому не могу выключить или перезагрузить (отсутствуют пункты меню)

  • разные политики накатываются
  • есть группа "Администраторы домена", она на серверах прописана в локальной группе "Администраторы" (через GPO)
    а зачем вообще такое делать? доменные админы прописываются в локальные админы сразу, после ввода компа в домен...
    Модератор
  • Посмотрите обсуждение

    Innovation distinguishes between a leader and a follower - Steve Jobs

  • разные политики накатываются

    Политика одна
  • Посмотрите обсуждение

    Innovation distinguishes between a leader and a follower - Steve Jobs


    дело не в UAC, на других серверах отрабатывает без проблем, локальные политики не применяются (проверено и сброшено через secedit для надежности)
  • логон/логофф/ребут выполнялся

    whoami /groups:

    BUILTIN\Администраторы   Псевдоним   S-1-5-32-544   Группа, используемая только для запрета

    DOMAIN\Администраторы домена   Группа   S-1-5-21-574784187-xxx   Группа, используемая только для запрета

    Group used for deny only - говорит о том что командная строка у вас запущена с урезанными UAC'ом привилегиями.

    Запустите командную строку принудительно через админа и попробуйте оттуда создать папку там где вы не можете создать. 

  • может есть еще варианты как сбросить настройки безопасности по дефолту? на втором компьютере при "Завершение работы" в терминальном режиме выскакивает "Операция отменена из-за ограничений, действующих на этом компьютере." Причем для других пользователей группы "Администраторы домена" это не распространяется.
    • Изменено Skok Oleg 30 мая 2017 г. 10:00
  • логон/логофф/ребут выполнялся

    whoami /groups:

    BUILTIN\Администраторы   Псевдоним   S-1-5-32-544   Группа, используемая только для запрета

    DOMAIN\Администраторы домена   Группа   S-1-5-21-574784187-xxx   Группа, используемая только для запрета

    Group used for deny only - говорит о том что командная строка у вас запущена с урезанными UAC'ом привилегиями.

    Запустите командную строку принудительно через админа и попробуйте оттуда создать папку там где вы не можете создать. 

    я в курсе, что он так пишет из-за UAC, каталоги я могу создавать, у меня нет прав на запуск MMC и управлением питанием

  • ну удостоверьтесь что вы через командную строку с повышенными привилегиями можете выполнять нужные действия. (mmc запускается одноименной командой(точнее mmc.exe, но расширение по сути можно и не писать), право на управление питанием можно глянуть через "whoami /priv", там должна присутствовать привилегия SeShutdownPrivilege)

    дальше ищете где и как в локальных и доменных политиках вы обрубали права и фиксите. Кстати в некоторых случаях некоторые политики могут не отображаться в GPMC, но это не значит что их там нет.

  • whoami /priv:

    SeShutdownPrivilege             Завершение работы системы                   Отключен

    Локальные политики сброшены на дефолтные. через GPO Параметры безопасности -> локальные политики не настраиваются. Самое смешное, что из группы серверов (одна OU), 2 ведут себя подобным образом.

  • >>SeShutdownPrivilege             Завершение работы системы                   Отключен

    ну значит команда shutdown из консольки с повышенными привилегиями должна отрабатывать.

  • не-а, системный администратор ограничил...

    P.S. досталось наследие от 33 однодневных админов...

  • зри в корень (с) Козьма Прутков

    SRP, не?

  • не, все отключено
  • а можно скрин тогда чтоль?
  • скрин чего именно?
  • чего пишет конкретно при попытке запустить тот же shutdown
  • После локального сброса настроек групповых политик и локальных политик безопасности восстановился профиль 1 (где была ошибка secpol.msc). На втором сервере из консоли могу отправить сервер в перезагрузку, но пункты меню и ALT+F4 не работают до сих пор