Zebbi 11 Geschrieben 14. Mai 2019 Melden Teilen Geschrieben 14. Mai 2019 (bearbeitet) Hallo, wir fangen gerade mit den ersten 2019er Windowsservern an und sind da über die Rechte gestolpert. Wenn ich mich als Domänenadministrator an einem 2019er Server anmelde, hat der lokal keine Rechte Systemeinstellungen zu ändern, bei 2008R2 ist das kein Problem. Melde ich mich also mit "MeineDomäne\Administrator" an, kann ich z.B. keine Netzwerkeinstellungen öffnen, da passiert garnichts, nichtmal eine Fehlermeldung. Versuche ich die "lokalen Benutzer und Gruppen" zu öffnen, bekomme ich zumindest den Hinweis das meine Rechte dafür nicht ausreichen und ich mich an den Administrator wenden soll. Der lokale Administrator darf das und sieht dann auch, dass in der Gruppe der lokalen Administratoren auch die Gruppe der Domänenadministratoren eingetragen sind. Unser AD läuft noch auf 2003er Stand, ist das der Grund? Anheben kann ich den Stand derzeit noch nicht. Solved: Hier die Lösung des Problems bearbeitet 15. Mai 2019 von Zebbi Zitieren Link zu diesem Kommentar
Beste Lösung NorbertFe 2.089 Geschrieben 14. Mai 2019 Beste Lösung Melden Teilen Geschrieben 14. Mai 2019 vor 4 Stunden schrieb Zebbi: Unser AD läuft noch auf 2003er Stand, ist das der Grund Nein. Eher uac. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 14. Mai 2019 Melden Teilen Geschrieben 14. Mai 2019 Um Norbert zu ergänzen: Win-X, kannst Du die Admin-Powershell (oder Commandline) starten? Normale Commandline: whoami /groups Zitieren Link zu diesem Kommentar
Zebbi 11 Geschrieben 15. Mai 2019 Autor Melden Teilen Geschrieben 15. Mai 2019 (bearbeitet) Ja, die Powershell kann ich als Admin starten: PS C:\Users\Administrator.MeineFirma> whoami /groups GRUPPENINFORMATIONEN -------------------- Gruppenname Typ SID Attribute ==================================================== =============== ============================================= ================================================================================ Jeder Bekannte Gruppe S-1-1-0 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe TollerServer119\HelpLibraryUpdaters Alias S-1-5-21-ACRONIS-XXXXXXXXXX-ZZZZZZZZZ-1031 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe TollerServer119\Acronis Centralized Admins Alias S-1-5-21-ACRONIS-XXXXXXXXXX-ZZZZZZZZZ-1025 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe TollerServer119\Acronis Remote Users Alias S-1-5-21-ACRONIS-XXXXXXXXXX-ZZZZZZZZZ-1026 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe VORDEFINIERT\Distributed COM-Benutzer Alias S-1-5-32-562 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe VORDEFINIERT\Leistungsprotokollbenutzer Alias S-1-5-32-559 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe VORDEFINIERT\Benutzer Alias S-1-5-32-545 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe VORDEFINIERT\Administratoren Alias S-1-5-32-544 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer NT-AUTORITÄT\INTERAKTIVE REMOTEANMELDUNG Bekannte Gruppe S-1-5-14 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe NT-AUTORITÄT\INTERAKTIV Bekannte Gruppe S-1-5-4 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe NT-AUTORITÄT\Authentifizierte Benutzer Bekannte Gruppe S-1-5-11 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe NT-AUTORITÄT\Diese Organisation Bekannte Gruppe S-1-5-15 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe LOKAL Bekannte Gruppe S-1-2-0 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe MeineFirma\Domänen-Admins Gruppe S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-512 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe MeineFirma\Richtlinien-Ersteller-Besitzer Gruppe S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-520 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe MeineFirma\Organisations-Admins Gruppe S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-519 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe MeineFirma\Schema-Admins Gruppe S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-518 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe MeineFirma\TollerServer114 $ Acronis Remote Users Alias S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-9753 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe MeineFirma\Abgelehnte RODC-Kennwortreplikationsgruppe Alias S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-572 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe MeineFirma\Server3 $ Acronis Remote Users Alias S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-8224 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe MeineFirma\MMTeam_DE_NL_BE Alias S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-9988 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe MeineFirma\ESX Admins Alias S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-9817 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe Bezeichnung S-1-16-LALA PS C:\Users\Administrator.MeineFirma> Heißt das jetzt ich muss UAC komplett deaktivieren? Ist das so von MS jetzt so gewollt, oder hab ich da irgendwas falsch gemacht? Auf mich macht das Ganze den Eindruck von "Wir stellen alles auf 2019-App um, egal obs schon geht oder nicht." :( bearbeitet 15. Mai 2019 von Zebbi Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 15. Mai 2019 Melden Teilen Geschrieben 15. Mai 2019 2019 is an manchen Stellen einfach buggy. Sieht man daran, dass man das Netzwerk- und Freigabecenter nicht über das Netzwerksymbol öffnen kann, aber wohl über die alte Systemsteuerung (control.exe) Zitieren Link zu diesem Kommentar
Zebbi 11 Geschrieben 15. Mai 2019 Autor Melden Teilen Geschrieben 15. Mai 2019 vor 38 Minuten schrieb NorbertFe: 2019 is an manchen Stellen einfach buggy. Sieht man daran, dass man das Netzwerk- und Freigabecenter nicht über das Netzwerksymbol öffnen kann, aber wohl über die alte Systemsteuerung (control.exe) Ist das bei 2016 nicht auch schon? Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 15. Mai 2019 Melden Teilen Geschrieben 15. Mai 2019 Nein. Zitieren Link zu diesem Kommentar
Zebbi 11 Geschrieben 15. Mai 2019 Autor Melden Teilen Geschrieben 15. Mai 2019 (bearbeitet) Danke, UAC war das passende Stichwort. Hier die "Lösung", auch wenns mehr nach einem Workarround aussieht, denn ein Domainadmin der keine Adminrechte hat, kann wohl kaum gewollt sein: Zitat Elevated command prompt, run gpedit.msc Navigate to Computer Configuration->Windows Settings->Security Settings->Local Policies->Security Options Enable "User Account Control: Admin Approval Mode for the Built-in Administrator account" Reboot and try again. Not sure exactly why, but this fixes the issue for me. Quelle: https://community.spiceworks.com/canonical_answer_pages/136578-server-2019-upgrade-domain-administrator-missing-rights Bei mir war diese Einstellung unkonfiguriert. vor 57 Minuten schrieb NorbertFe: 2019 is an manchen Stellen einfach buggy. Sieht man daran, dass man das Netzwerk- und Freigabecenter nicht über das Netzwerksymbol öffnen kann, aber wohl über die alte Systemsteuerung (control.exe) Ist damit auch "behoben". bearbeitet 15. Mai 2019 von Zebbi Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 15. Mai 2019 Melden Teilen Geschrieben 15. Mai 2019 2 minutes ago, Zebbi said: Hier die "Lösung", auch wenns mehr nach einem Workarround aussieht, denn ein Domainadmin der keine Adminrechte hat kann wohl kaum gewollt sein: Doch. Man möchte nicht das der Domänenadmin auf Clients und Servern Admin Rechte hat. Der ist dafür da die Domäne zu administrieren und nicht die Clients und Server! Zitieren Link zu diesem Kommentar
Zebbi 11 Geschrieben 15. Mai 2019 Autor Melden Teilen Geschrieben 15. Mai 2019 (bearbeitet) vor 7 Minuten schrieb Dukel: Doch. Man möchte nicht das der Domänenadmin auf Clients und Servern Admin Rechte hat. Der ist dafür da die Domäne zu administrieren und nicht die Clients und Server! Mag im Enterpriseumfeld durchaus berechtigt sein, aber für den Mittelstand etwas unpraktikabel. bearbeitet 15. Mai 2019 von Zebbi Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 15. Mai 2019 Melden Teilen Geschrieben 15. Mai 2019 vor 11 Minuten schrieb Zebbi: Danke, UAC war das passende Stichwort. Ich weiß, denn deine genannte Policy kenne ich auch, habe das aber absichtlich nicht so konfiguriert, sondern gehe jetzt eben den anderen Weg zur Netzwerkkonfiguration. Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 15. Mai 2019 Melden Teilen Geschrieben 15. Mai 2019 14 minutes ago, Zebbi said: Mag im Enterpriseumfeld durchaus berechtigt sein, aber für den Mittelstand etwas unpraktikabel. Sicherheit ist immer unpraktikabel (besser wäre komplizierter oder umständlicher!). Aber auch im Mittelstand kann Sicherheit wichtig sein. Zitieren Link zu diesem Kommentar
Zebbi 11 Geschrieben 15. Mai 2019 Autor Melden Teilen Geschrieben 15. Mai 2019 Gerade eben schrieb Dukel: Sicherheit ist immer unpraktikabel (besser wäre komplizierter oder umständlicher!). Aber auch im Mittelstand kann Sicherheit wichtig sein. Klar, da rennst du bei mir offene Türen ein. :) Aber wenn das praktisch schon ein Sicherheitsproblem darstellt willst Du die anderen gar nicht hören. ;) :( Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 16. Mai 2019 Melden Teilen Geschrieben 16. Mai 2019 Am 15.5.2019 um 11:14 schrieb Zebbi: Hier die "Lösung", auch wenns mehr nach einem Workarround aussieht, denn ein Domainadmin der keine Adminrechte hat, kann wohl kaum gewollt sein: Quelle: https://community.spiceworks.com/canonical_answer_pages/136578-server-2019-upgrade-domain-administrator-missing-rights Bei mir war diese Einstellung unkonfiguriert. Ich hab den Rest des Threads noch nicht gelesen, aber 2 Tipps zu UAC: 1. Apps funktionieren nicht, wenn UAC aus ist. Da fällt die ganze zugrunde liegende Architektur auf die Nase 2. Nicht mit dem Builtin Admin arbeiten. Leg Dir einen dafür an und arbeite mit dem. Am 15.5.2019 um 11:47 schrieb Zebbi: Aber wenn das praktisch schon ein Sicherheitsproblem darstellt willst Du die anderen gar nicht hören. ;) :( Ja, das tut es. Per Default werden 10 Anmeldungen zwischengespeichert, d.h. der Kennworthash dieser Anmeldungen kann aus der Registry extrahiert werden, wenn man SYSTEM oder Admin auf dem Client ist. Und gerade im SoHo-Bereich ist da fast immer ein DomAdmin dabei, weil der die Clients von Hand "fertig schleift" Wir hatten gerade erst wieder einen Vorfall im Kundenbereich - die Einschläge kommen näher, und sie werden heftiger (=teurer). Haben viele noch nicht realisiert... Zitieren Link zu diesem Kommentar
Zebbi 11 Geschrieben 17. Mai 2019 Autor Melden Teilen Geschrieben 17. Mai 2019 Stimmt... Also als Lösung eine Gruppenrichtlinie auf eine OU in der nur Clients sind die einem Domänenuser X lokale Adminrechte einräumt, dessen Passwort sich täglich ändert, damit ich auf den Clients einen definierten User für Wartungszwecke hab? Kann man das Cachen der Credentials eigentlich für bestimmte Accounts deaktivieren? Dann wäre das Problem ja behoben.... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.