none
windows7域用户隶属administrators组但没有管理员权限 RRS feed

  • 问题

  • 环境

    windows7旗舰版 64位

    加入域环境(WIN2003)

    域用户是域管理员并且添加到本地administrators组

    但运行某些软件时提示没有管理员权限,调整IE安全设置时底部也提示某些设置需要管理员权限才可以设置.

    已经看过组策略设置所有都是未配置,尝试更换别的域用户登录调整权限结果还是一样,目前除了本地建立的管理员外,域的所有用户都不具有管理员权限.

    请问有什么办法可以解决?

    系统都是刚安装好的.

    2012年7月31日 3:15

答案

  • 從截圖看, 這是應用了組策略導致. 如果在 rsop.msc 或 gpresult 看不到的話, 那麼請直接在之前回复中提到的註冊表項中查看

    Folding@Home

    2012年8月1日 2:20

全部回复

  • 對於這個問題, 建議先打開審核策略(比如對象訪問), 來跟踪一下.

    Folding@Home

    2012年7月31日 5:52
  • 已经开了审核策略,具体应该怎样看呢
    2012年7月31日 6:30
  • 1. 先確認一下那些軟件是否在安裝時沒有選擇所有用戶可以運行, 同時那些軟件是否支持 Windows 7.

    2. 此問題是否僅存在於一台機器上, 還是多台機器上? 如果是一台, 那麼該機器的 UAC 配置情況如何?

    如果是多台, 請檢查這些機器啟用的組策略設置. 可從域控的 GPMC 和客戶端 rsop.msc(gpresult) 進程查看.

    3. 當使用域管理員帳戶登錄後, 以管理員身份運行一個 cmd, 並執行命令

    whoami /priv

    觀察該用戶擁有哪些特權.

    4 .啟用策略策略中的"進程跟踪"和"審核特權使用"(審核條件為"成功"), 然後觀察運行哪些軟件時, 系統日誌安全性的相關記錄中那些軟件對應進程的提權和運行信息.

    注:

    如果要貼出相關日誌記錄, 請事先將敏感信息抹去.


    Folding@Home

    2012年7月31日 13:27
  • 运行

    whoami /priv

    后出这特权

    2012年8月1日 1:01
  • 开启审核策略后运行程序出现以下日志

    已创建新进程。

    主题:
     安全 ID:  xxxxx
     帐户名:  xxxxx
     帐户域:  xxxx
     登录 ID:  xxxx

    进程信息:
     新进程 ID: 0x664
     新进程名: D:\Program Files (x86)\360\360Safe\firstaid\SuperKiller.exe
     令牌提升类型: TokenElevationTypeFull (2)
     创建者进程 ID: 0x1614

    “令牌提升类型”指明按照用户帐户控制策略分配给新进程的令牌类型。

    类型 1 是未删除特权或禁用组的完全令牌。只应用于禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况。

    类型 2 是未删除特权或禁用组的提升令牌。当启用了用户帐户控制并且用户选择以管理员身份使用 Run 启动程序时会使用提升令牌。当应用程序配置为总是需要管理特权或总是需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。

    类型 3 是删除了管理权限并禁用了管理组的受限令牌。如果启用了用户帐户控制,应用程序不要求管理特权并且用户没有选择以管理员身份使用 Run 启动程序时会使用受限令牌。

    2012年8月1日 1:07
  • 建議卸載 360 安全衛士, 360 安全衛士不是為域環境而設計的, 它的某些功能會影響域控管理的正常進行.
    比如, 開機優化禁用了若干域環境必須的服務, 如果它有使用組策略設置, 如果是直接在註冊表項

    HKLM\SOFTWARE\Policies
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
    HKCU\SOFTWARE\Policies
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies

    進行修改, 那麼是不能通過 gpresult 看到.

    如果進行了卸載, 那麼建議你按照一台全新安裝比加入域的 Windows 7 的設置(可通過虛擬機實現), 進行重設.


    Folding@Home


    • 已编辑 repl 2012年8月1日 1:46
    2012年8月1日 1:29
  • 但现在的问题并不在于360身上,因为我已经尝试重新安装WIN7然后进入系统后第一时间加域进行测试,发现权限依然有问题,

    最明显的状况是调整IE安全页时提示

    并且删除某些文件夹的时候也提示需要administrators权限

    2012年8月1日 1:34
  • 從截圖看, 這是應用了組策略導致. 如果在 rsop.msc 或 gpresult 看不到的話, 那麼請直接在之前回复中提到的註冊表項中查看

    Folding@Home

    2012年8月1日 2:20