none
域管理员账户加入WIN10本地管理员组后的权限 RRS feed

  • 问题

  • IN10企业版+WIN2012域控。我已经把域管理员账户wellsigned\administrator加入到了win10本地管理员组中,但是登陆后还是没有足够的本地权限。比如,打印机属性窗口无法打开,提示“windows无法访问指定设备、路径或文件。你可能没有适当的权限访问该项目”。我从微软网站安装office2019也显示权限错误而无法安装。

    相同环境下,所有的win7系统客户端都没有这个问题,最近新增加了这台win10客户端,就发生这个问题。

    请问如何排查?

    2019年3月17日 3:33

答案

  • Dear Daisy, 很高兴的通知你,问题已经解决,如下详述:

    问题出在Win10的本地组策略中“用于内置管理员账户的管理员批准模式”这个策略项的设置。

    经过试验,发现Win10默认的“以管理员批准模式运行所有管理员”这个策略是”已启用“状态,而”用于内置管理员账户的管理员批准模式“这个策略是”未配置“。所以当把域成员加入本地管理员组后,其并不是以最高权限运行的。只有同时启用用于内置管理员账户的管理员批准模式“这个策略后,才可以获得全部权限。

    至此,问题真相大白。Win10应该在控制面板本地用户管理窗口,设置一个提示消息,比如”本地管理员组中的成员权限,还依赖于xxxx策略的设置“。这样就可以避免用户困扰。

    不禁联想到最近的波音737MAX8事件,据称也是美国制造商设置了某项自动功能而不编入手册也不告知。难道这才是美式风格?

    希望这个结果能对有类似问题的用户有帮助。

    Best regards,

    David

    • 已标记为答案 xuzhg_sh 2019年3月26日 7:03
    2019年3月26日 7:03

全部回复

  • 尊敬的客户,您好!

    感谢您在我们TechNet论坛发帖。

    正常电脑加域以后,我们在本地管理员组会显示Domain\Admins这个组。

    根据我们的描述和我们的截图,我在本地管理员组没有看到这个组(Domain Admins),我们是把这个组删除了,然后把域管理员添加到这个本地管理员组的,对吗?
    如果是的话,我按照您的方式,在一台加域的Win 10客户端,我把Domain Admins这个组删除了,然后把域管理员A\Administrator添加到本地管理员组,我可以正常打开打印机属性。



    我们可以从以下几方面检查:
    1. 检查这台Win 10是否成功加域。
    2. 在域控制器上,检查已经加域的计算机中是否存在相同名字(在这种情况下,是否有HPLAPTOP这个名字)。


    3. 在域控制器上,检查域管理员是否在Domain Admins这个组。



    希望上述回复对您有帮助,如果有什么进展,您可以随时联系我们。


    此致,
    Daisy Zhou



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年3月18日 6:01
  • 尊敬的客户,您好!
    首先,祝愿您今天有个好心情。
    其次,关于您在帖子中提到的问题有更新吗?或者需要我为您提供什么帮助吗?
    最后,感谢您的理解和支持,祝愿您工作愉快!
     


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年3月20日 1:27
  • Dear Daisy, Thanks for your reply.

    以下是我排查的情况:

    1)首先我在本地管理员组中加入了domain admins,如下图

    2)然后我确定这台Win10客户机已经加入域,并且在域的Computers组里有唯一这台计算机名称,如下图:

    3)继续检查了域管理员是在Domain Admins组中,如下图:

    请问有什么进一步的排查建议吗? 

    谢谢先~~

    2019年3月20日 5:18
  • 尊敬的客户,您好!
    1. 我们先把本地管理员组的Domain Users 这个组删除。


    2. 把Domain Admins这个组中的HPLAPTOP删除,然后看问题是否还存在。


    3. 如果还有问题,建议把这台Win 10退域重新加域试试。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年3月21日 2:02
  • Dear Daisy, thanks for your revert.

    1) 我先是删除了本地管理员组中的DomainUsers,如下图

    2)然后在域管理员组中删除了HPLAPTOP成员,如下:

    试验了一下,问题依旧。

    然后,

    3)我把这台WIN10退出域,改名成HPLAPTOPNEW后重新加入域。这次在本地管理组中自动出现了DomainAdmins组,但是问题依旧,如下:(为了方便说明问题,我把窗口平铺在桌面上然后截图)

    闹到

    难道Win10的用户权限管理比Win7有了什么大的改动?我域中所有的Win7都是正常的。

    2019年3月21日 7:11
  • 尊敬的客户,您好!
    尝试以下的方法排查问题:

    我们把这台Win 10电脑退域,不在域的环境下,使用本地管理员账号登录以后,是否可以打开打印机属性和安装office呢?

    如果还是不可以的话,那么我们重装系统看看。

    如果可以的话,可能是因为什么域策略阻止了管理员的权限。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2019年3月22日 3:57
  • 尊敬的客户,您好!

    请问我们是否尝试以上的方法呢?我想知道提供的信息是否有帮助。             
    你的反馈对进一步的研究非常有用。如果您还有其他问题,请随时通知我。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年3月25日 3:00
  • Dear Daisy,

    这台Win10即使不退出域,用本地管理员账号登录以后,权限是正常的,可以打开打印机属性和安装Office的。

    如果是域策略的话,请教一下,怎么排查?

    Best regards,

    David

    2019年3月25日 10:48
  • Dear Daisy, 很高兴的通知你,问题已经解决,如下详述:

    问题出在Win10的本地组策略中“用于内置管理员账户的管理员批准模式”这个策略项的设置。

    经过试验,发现Win10默认的“以管理员批准模式运行所有管理员”这个策略是”已启用“状态,而”用于内置管理员账户的管理员批准模式“这个策略是”未配置“。所以当把域成员加入本地管理员组后,其并不是以最高权限运行的。只有同时启用用于内置管理员账户的管理员批准模式“这个策略后,才可以获得全部权限。

    至此,问题真相大白。Win10应该在控制面板本地用户管理窗口,设置一个提示消息,比如”本地管理员组中的成员权限,还依赖于xxxx策略的设置“。这样就可以避免用户困扰。

    不禁联想到最近的波音737MAX8事件,据称也是美国制造商设置了某项自动功能而不编入手册也不告知。难道这才是美式风格?

    希望这个结果能对有类似问题的用户有帮助。

    Best regards,

    David

    • 已标记为答案 xuzhg_sh 2019年3月26日 7:03
    2019年3月26日 7:03
  • 尊敬的客户,您好!
    非常高兴我们的问题已经解决了。同时感谢您的更新信息和分享,我想我们的分享结果对有类似问题的用户将非常有帮助。

    但是经过我仔细查看的,我发现在我的环境中,两台加入域的Win 10电脑,您提到的这两项策略默认都是启用的,所以一开始在我的环境中,域管理员加入本地管理员组也是有权限执行您提到的这些操作。



    一般遇到策略(域策略或者本地策略)的问题,就是对比有问题的电脑和没有问题的电脑的策略或者有问题的用户策略和没有问题的用户策略。

    一如既往,如果后期遇到什么其他问题,欢迎您随时上帖。我们很高兴协助您!
     
    祝您工作生活顺利!




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年3月26日 8:28
  • Dear Daisy,

    因为我这台win10是新买的笔记本,而且因为这个问题重装过数次了,所以我很确定没有进行过任何本地策略的人为设置。会不会是Win10的版本问题?我这个Win10是随机的家庭版在微软官网付款升级成专业版的。有没有这种可能,因为经历了版本升级导致本地策略的变动?

    Best regards,

    David

    2019年3月27日 4:08
  • Dear Daisy,

    我在论坛搜索了一下,发现有类似问题的用户不少,比如:

    https://social.technet.microsoft.com/Forums/zh-CN/2fad73dd-0387-4bf1-a2bb-3cf61f162baf/windows?forum=win10itprogeneralCN

    可见这个问题有共性。

    请问关于这两个策略的默认设置,官方是否有什么明确的说法,比如说:新装win10系统,任何版本,任何情况下,初始值都是以启用?

    Best regards,

    David

    2019年3月27日 4:20
  • 尊敬的客户,您好!
    很抱歉,可能我的环境不是默认的设置。经过我的查询,我了解到:
    Group Policy setting
    User Account Control: Admin Approval Mode for the built-in Administrator account——Disabled (Default).
    User Account Control: Run all administrators in Admin Approval Mode——Enabled(Default).


    对于Win 10中的这个策略User Account Control: Admin Approval Mode for the Built-in Administrator account,我们可以看到以下官网的说明:



    需要更详细的信息,我们可以参考以下的文档:



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年3月27日 8:32