Kleiner Hinweis auf ein Problem für Administratoren in Unternehmensumgebungen. Leser mvo hat sich gemeldet, weil in seiner Umgebung einige Windows 10 Pro Systeme ein merkwürdiges Verhalten zeigen. Die Administratorkonten verhalten sich nur wie ein Standard-Benutzerkonto mit Administratorrechten.
Anzeige
Merkwürdiges Kontenproblem
Der Leser gibt an, dass er auf einigen Windows 10 Pro PC ein merkwürdiges Verhalten habe und beschreibt den Sachverhalt "Administrator, der nur Standardbenutzer ist" folgendermaßen:
Wir verwenden kein AD. Um administrative Arbeiten an den PC durchführen zu können aktivieren wir das lokale Administrator Konto und versehen dieses mit einem Passwort.
Auf einigen wenigen PC ist es nun aber so, dass sich das Administratorkonto nur wie ein Standard-Benutzerkonto mit Administratorrechten verhält.
Normalerweise kann man, wenn man mit dem Benutzer "Administrator" arbeitet z.B. direkt eine CMD öffnen und hat darin sofort administrative Rechte.
Der Standard-Benutzer mit Administratorrechten muss hingegen explizit die CMD "als Administrator" ausführen. Ansonsten erhält er z.B. beim Aufruf von chkdsk ein "Zugriff verweigert, da Sie nicht über ausreichende Berechtigungen verfügen".
Bei den betroffenen PC wird also selbst der User "Administrator" wie ein Standard-Benutzer behandelt, was bei Scripten und geplanten Tasks zu Problemen führt weil u.a. das Schreiben in %program files% und %SystemRoot% nicht möglich ist.
Teilweise . administrieren wir auch remote über SSH auf der Befehlszeile um Silent Installationen durchzuführen. Das funktioniert dann natürlich auf diesen PC auch nicht. Auch ein "runas" geht nicht.
Ich nutze in allen CMD Scripts, die Admin Rechte erfordern, immer eine Abfrage, ob dieses mit administrativen Rechten läuft:
goto check_Permissions :check_Permissions echo Check Administrative Permissions… net session >nul 2>&1 if %errorLevel% == 0 (goto admin ) else (goto user ) :admin echo Success: Administrative permissions confirmed. :user echo Failure: Current permissions inadequate.Auch hier wird auf den betroffenen PC dem User Administrator bescheinigt, nur Standard-Benutzer zu sein. Sehr merkwürdig. Auf den betroffenen PC sind keine Gemeinsamkeiten erkennbar. Zum Teil neu installiert, zum Teil von Windows 7 aktualisiert. Einige PC sind sogar vom selben Image betankt. Ein PC zeigt das Verhalten, der andere nicht :-(
Zu diesem Kommentar gab es aber keine weiteren Reaktionen aus der Leserschaft.
Die Ursache
Der Blog-Leser hat sich dann später nochmals zurückgemeldet und schreibt, dass er nach ewiger Sucherei ich nun die Ursache gefunden habe. Hier die Lösung:
Standardmäßig hat der Built-In Benutzer "Administrator" auf der Befehlzeile und der GUI volle Rechte und die UAC ist ausgeschaltet.
Es gibt eine lokale Gruppenrichtlinie, die bewirkt, dass auch für den Built-In Benutzer "Administrator" die UAC eingeschaltet wird. Ist diese aktiviert, bekommt er, wie jeder andere User mit Administratorrechten, die Sicherheitsdialoge angezeigt, die er bestätigen muss und er hat auf der Befehlszeile standardmäßig keine Adminrechte, muss CMD also als Administrator starten.
Aus mir völlig unerfindlichen Gründen ist diese Richtlinie bei einigen wenigen PC aktiviert.
Die Lösung ist ein Eingriff in die Registrierung in folgenden Schlüssel:
Anzeige
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\
Dort ist der 32-Bit-DWORD-Wert FilterAdministratorToken einzutragen und mit folgenden Werte zu versehen:
- 0 = Ohne Benutzerkontensteuerung (Standard)
- 1 =Mit Benutzerkontensteuerung
Im Nachgang ist ggf. ein Neustart erforderlich, das wars.
Anzeige
