Windows 10:缺少权限的 AD 域管理员?

vic*_*vic 14 active-directory samba4 windows-10

也许我的标题不正确,但此时我不知道如何命名。

如果我使用主 AD 域管理员帐户登录 Windows 10 计算机,则在输入语言设置应用程序时收到错误消息。

(我的 Windows 是另一种语言,所以这不是英文的实际字符串,而只是我的翻译:)

  c:\windows\system32\SystemSettingsAdminFlows.exe   
  Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item.
Run Code Online (Sandbox Code Playgroud)

看来我可以很好地进行更改,甚至可以保存它们,我只需要继续单击错误消息,至少 5-6 次。

当我在同一台机器上使用本地管理员帐户登录时,不会出现此问题。

我检查了本地管理员组,AD 域管理员是其中的一部分。否则我真的可以做几乎所有的事情。

我什至不能在这里提供一个好问题,我只是想了解发生了什么,以及我是否遗漏了配置中的某些内容。

更新:

C:\Users\Administrator>icacls c:\windows\System32\SystemSettingsAdminFlows.exe
c:\windows\System32\SystemSettingsAdminFlows.exe NT SERVICE\TrustedInstaller:(F)
                                                 VORDEFINIERT\Administratoren:(RX)
                                                 NT-AUTORITÄT\SYSTEM:(RX)
                                                 VORDEFINIERT\Benutzer:(RX)
                                                 ZERTIFIZIERUNGSSTELLE FÜR ANWENDUNGSPAKETE\ALLE ANWENDUNGSPAKETE:(RX)

1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.

C:\Users\Administrator>whoami /groups

GRUPPENINFORMATIONEN
--------------------

Gruppenname                                          Typ             SID                                           Attribute
==================================================== =============== ============================================= ================================================================================
Jeder                                                Bekannte Gruppe S-1-1-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Benutzer                                Alias           S-1-5-32-545                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Administratoren                         Alias           S-1-5-32-544                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer
NT-AUTORITÄT\INTERAKTIV                              Bekannte Gruppe S-1-5-4                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
KONSOLENANMELDUNG                                    Bekannte Gruppe S-1-2-1                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Authentifizierte Benutzer               Bekannte Gruppe S-1-5-11                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Diese Organisation                      Bekannte Gruppe S-1-5-15                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
LOKAL                                                Bekannte Gruppe S-1-2-0                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Group Policy Creator Owners                   Gruppe          S-1-5-21-1731680816-2417063338-1172291106-520 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Denied RODC Password Replication Group        Alias           S-1-5-21-1731680816-2417063338-1172291106-572 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Enterprise Admins                             Gruppe          S-1-5-21-1731680816-2417063338-1172291106-519 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Schema Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-518 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
OFFICE\Domain Admins                                 Gruppe          S-1-5-21-1731680816-2417063338-1172291106-512 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe Bezeichnung     S-1-16-12288
Run Code Online (Sandbox Code Playgroud)

HED*_*MON 21

看起来这是“用户帐户控制”和“内置管理员”帐户之间的问题。我有同样的问题,这对我有用:

  1. Win + R 并键入“secpol.msc”以打开本地安全策略控制台。
  2. 在安全设置树中,打开本地策略 > 安全选项。
  3. 找到策略:用户帐户控制:内置管理员帐户的管理员批准模式并启用它。
  4. 注销 - 登录,瞧!

  • 我在新安装的 Windows 2016 Standard 上遇到了同样的问题,这也为我解决了这个问题。 (3认同)
  • 如果您再次找到它,请不要忘记将其添加到您的答案中,我想更详细地了解这一点。但无论如何,谢谢!:) (2认同)
  • 我认为这样做的原因是某些应用程序不会在提升模式下运行。如果未启用此选项,则该用户运行的所有应用程序都会提升。如果启用此选项,UAC 也对内置管理员(也是域管理员)有效,应用程序将正常运行。这是微软用自己的膝盖射击的方式。 (2认同)