Probleme Windows Server 2012 Domäne mit Win 10 19041

[mcdaniels 29]

Hallo,

ich habe einen Windows 10 Client (10.0.19.041.450) der in der Domäne Probleme macht.

Die Probleme äußern sich insofern, dass -selbst wenn ich mich mit dem Domänenadmin anmelde- keine Programminstallationen möglich sind.

 

Es erscheint eine Meldung, dass man Administrator sein müsse, um ein Programm zu installieren.

Mit dem lokalen Adminkonto, kann ich Programme installieren.

 

Andere Windows 10 Clients, die noch die Vorversion zu 1904 installiert haben, machen keine Probleme.

 

Ist etwas derartiges zufällig bekannt?

 

Danke!

[daabm 1.354]

Fehlermeldungen im Wortlaut sind immer hilfreich. Ein "whoami /groups" auf der Commandline sagt Dir schon mal, wer Du eigentlich bist. Und dann sehen wir weiter

PS: Warum meldet sich ein Dom-Admin auf einem Client an? Der hat da nichts verloren, dafür erstellt man sinnvollerweise eine AD-Gruppe "Client-Admins".

[mcdaniels 29]

Hi,

whoami /groups:

Benutzer

Ineraktiv Gruppe

Konsolenanmeldung

Diese Organisation

Lokal

Richtlinien-Ersteller-Besitzer

Domänen-Admins

Schema-Admins

 

 

vor 27 Minuten schrieb daabm:

PS: Warum meldet sich ein Dom-Admin auf einem Client an? Der hat da nichts verloren, dafür erstellt man sinnvollerweise eine AD-Gruppe "Client-Admins".

Guter Einwand. Werd das gleich mal ändern bzw. einen Clientadmin anlegen.

 

Wenn an sich nix bekannt ist, kann es gut sein, dass die Kiste einfach einen Tusch hat und neu aufgesetzt werden sollte.

 

Bezüglich Fehlermeldung: zb. beim Versuch via Systemsteuerung die IP Konfigruation zu ändern:

Ich klicke auf IPV4 -> Eigenschaften -> dann will der PC eine Authentifizierung -> ich gebe  den Domänenadmin ein (jetzt dann den Clientadmin)  mit Kennwort und:

 

Sie verfügen nicht über die erforderlichen Berechtigungen um die Verbindungseigenschaften zu konfigurieren. Setzen Sie sich mit dem Administrator in Verbindung.

 

bearbeitet 30. September 2020 von mcdaniels

[MurdocX 950]

Sind die Domänen-Admins noch Mitglied in den Administratoren?

 

lusrmgr.msc ist die Konsole zum nachsehen.

bearbeitet 30. September 2020 von MurdocX

[mcdaniels 29]

vor 2 Minuten schrieb MurdocX:

Sind die Domänen-Admins noch Mitglied in den Administratoren?

 

lusrmgr.msc ist die Konsole zum nachsehen.

Ja, gerade geprüft.

[daabm 1.354]

vor 2 Minuten schrieb mcdaniels:

vor 4 Minuten schrieb MurdocX:

Sind die Domänen-Admins noch Mitglied in den Administratoren?

 

lusrmgr.msc ist die Konsole zum nachsehen.

Ja, gerade geprüft.

In deinem whomai-Output oben steht aber nichts von "Administratoren"... Und eine Konsole braucht man dafür auch nicht: "net localgroup administratoren" reicht meistens

 

bearbeitet 30. September 2020 von daabm

[mcdaniels 29]

vor 12 Minuten schrieb daabm:

In deinem whomai-Output oben steht aber nichts von "Administratoren"... Und eine Konsole braucht man dafür auch nicht: "net localgroup administratoren" reicht meistens

 

Am Domänencontroller sind sie dabei. Allerdings werden sie mir auf dem einen Client nicht angezeigt mit whoami /groups

bearbeitet 30. September 2020 von mcdaniels

[daabm 1.354]

Ja, sag ich doch. "whoami" sagt Dir, in welchen Gruppen du EFFEKTIV Mitglied auf dem Client bist. Administratoren fehlt. Und die Domain Admins sind nicht in der "lokalen" Gruppe "Administratoren"; sondern in der "domänenlokalen" Gruppe "Administratoren". Kleiner, aber wesentlicher Unterschied.

[mcdaniels 29]

vor 7 Minuten schrieb daabm:

Ja, sag ich doch. "whoami" sagt Dir, in welchen Gruppen du EFFEKTIV Mitglied auf dem Client bist. Administratoren fehlt. Und die Domain Admins sind nicht in der "lokalen" Gruppe "Administratoren"; sondern in der "domänenlokalen" Gruppe "Administratoren". Kleiner, aber wesentlicher Unterschied.

Ok. Ich muss also die Domänen-Admins in die lokale Gruppe (am Problem-PC) der Administratoren hinzufügen, dann sollte das wieder klappen. Hab ich euch da korrekt verstanden?

[NorbertFe 2.034]

vor 1 Minute schrieb mcdaniels:

Ich muss also die Domänen-Admins in die lokale Gruppe (am Problem-PC) der Administratoren hinzufügen,

Wie dir gesagt wurde, haben domänenadmins auf einem pc genau nichts verloren!

[mcdaniels 29]

vor 4 Minuten schrieb NorbertFe:

Wie dir gesagt wurde, haben domänenadmins auf einem pc genau nichts verloren!

ich bezog mich nur auf das was daabm gesagt hat um das grundlegende Problem zu verstehen, wenn ich jetzt vom Clientadmin anfange, wird das unklar, denk ich.

 

Gibt es bzgl. des Client-Admin ein best-practise Beispiel?

bearbeitet 30. September 2020 von mcdaniels

[daabm 1.354]

Nö, das verstehen wir schon

[mcdaniels 29]

da hat sich was überschnitten... ;)

 

Gibt es bzgl. des Client-Admin ein best-practise Beispiel?

[daabm 1.354]

Ja, steht ja schon oben:

1. "Deny logon locally" per GPO auf allen Clients für "Domain\Domain Admins" und "Domain\Administrators"

2. Neue AD-Gruppe "Client-Admins"

3. Group Policy Preferences - Local Users and Groups - Administrators: Neue Domänengruppe hinzufügen (mehr dazu: https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html )

4. Neue AD-Gruppe mit Accounts füllen

PS: Punkt 1 als letztes umsetzen, wenn sicher ist, das 2-4 funktioniert

[MurdocX 950]

5. Einen neuen Domänen-Admin anlegen und den Alten deaktivieren. Unique sollte das Passwort auch sein.