web-dev-qa-db-fra.com

L'utilisateur du groupe Administrateurs n'a pas les mêmes droits que l'administrateur (Win 2012 R2)

J'ai créé un administrateur utilisateur et mis cet utilisateur dans les groupes d'administrateurs (local, il n'y a pas d'AD). Mais cet utilisateur administrateur n'a pas les mêmes droits que l'utilisateur administrateur lui-même.

Exemple 1: un fichier appartient à SYSTEM et le groupe d'administrateurs a le contrôle total. Si j'essaie d'ajouter des autorisations pour un utilisateur à ce fichier, cela ne fonctionne pas pour l'utilisateur administrateur. Avec l'administrateur est fonctionne sans aucun problème.

Exemple 2: IE La configuration de sécurité renforcée est désactivée pour les administrateurs, activée pour les utilisateurs. Pour l'administrateur, cela est OK, pour l'utilisateur administrateur, elle est toujours activée.

Est-ce un problème de configuration? Si oui, que dois-je faire pour que tout soit correct?

permissionswindows-server-2012-r2users
10
Maarten

Cela pourrait être dû à Contrôle de compte d'utilisateur , une fonctionnalité (détestée par beaucoup) qui fait que, même si vous avez des droits administratifs, vous ne les avez pas à moins que vous ne les demandiez explicitement. Il existe deux stratégies distinctes régissant le comportement de l'UAC (toutes deux trouvées dans Computer settings\Windows settings\Security settings\Local policies\Security options), un pour le compte Administrator intégré et un autre pour tous les autres utilisateurs administratifs:

  • Contrôle de compte d'utilisateur: mode d'approbation administrateur pour le compte administrateur intégré (désactivé par défaut)
  • Contrôle de compte d'utilisateur: exécutez tous les administrateurs en mode d'approbation administrateur (activé par défaut)

Cela signifie: par défaut, le compte Administrator intégré n'est pas affecté par l'UAC, tandis que tous les autres utilisateurs administratifs le sont; ainsi, il est possible pour un utilisateur administratif (différent de celui intégré Administrator) de ne pas avoir de droits administratifs, même s'il est membre du groupe Administrators.

Plus d'informations ici .

17
Massimo

J'ai eu une situation similaire et l'ai corrigée en suivant les étapes de http://clintboessen.blogspot.com/2013/05/you-dont-currently-have-permission-to.html (qui sont pour une situation différente). Voici ce que j'avais et ce que j'ai fait:

  1. Deux ordinateurs, pas de domaine Active Directory, l'un avec Win 8.1 (nom W81 par exemple), l'autre avec Server 2012 (nom w12 par exemple)
  2. Deux utilisateurs locaux sur w12: [UserA] avec PasswordA et [UserB] avec PasswordB. Les deux appartiennent au groupe local [Administrateurs].
  3. Deux utilisateurs locaux sur w81: [UserA] et [UserB] avec les mêmes PasswordA et PasswordB que les utilisateurs correspondants de w12. Les deux appartiennent au groupe local [Administrateurs].
  4. Je partage un dossier sur w12: a. Nom du partage: Temp1 $ b. Autorisations de partage: [Tout le monde], Contrôle total c. Autorisations NTFS: [Administrateurs], Contrôle total. Aucun autre groupe ne dispose d'autorisations NTFS ici
  5. Connecté sur le W12 en tant que [UserA], j'essaie d'accéder au partage en utilisant UNC\w12\Temp1 $. Je reçois une erreur indiquant que je n'ai pas accès. La part est trouvée. Pas d'accès.
  6. Connecté sur le W81 en tant que [UserB], j'essaie d'accéder au partage en utilisant UNC\w12\Temp1 $. J'ai la même erreur. REDÉMARRER w12 N'AIDE PAS.
  7. Si j'ajoute [UserA] et [UserB] explicitement aux autorisations NTFS, ils ont maintenant accès au partage à l'aide des étapes 5 et 6.
  8. J'ai couru GPEdit.msc sur w12, suis allé à:

Configuration de l'ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité

et utilisé les paramètres pour les recommandations # 1 et # 3:

# 1, Contrôle de compte d'utilisateur: mode d'approbation administrateur pour le compte administrateur intégré: désactivé. # 3, Contrôle de compte d'utilisateur: exécutez tous les administrateurs en mode d'approbation administrateur: désactivé.

Et laissé # 2 intact: # 2, Contrôle de compte d'utilisateur: Comportement de l'invite d'élévation pour les administrateurs en mode d'approbation administrateur: Demander le consentement pour les binaires non Windows

  1. Redémarré la machine et la situation ne s'est pas reproduite.
1
Jelgab