![\"Windows\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" "\\"Windows\\"")
Kleiner Hinweis auf ein Problem f\u00fcr Administratoren in Unternehmensumgebungen. Leser mvo hat sich gemeldet, weil in seiner Umgebung einige Windows 10 Pro Systeme ein merkw\u00fcrdiges Verhalten zeigen. Die Administratorkonten verhalten sich nur wie ein Standard-Benutzerkonto mit Administratorrechten.<\/p>\n
<\/p>\n
Der Leser gibt an, dass er auf einigen Windows 10 Pro PC ein merkw\u00fcrdiges Verhalten habe und beschreibt den Sachverhalt \"Administrator, der nur Standardbenutzer ist\" folgenderma\u00dfen:<\/p>\n
Wir verwenden kein AD. Um administrative Arbeiten an den PC durchf\u00fchren zu k\u00f6nnen aktivieren wir das lokale Administrator Konto und versehen dieses mit einem Passwort.<\/p>\n
Auf einigen wenigen PC ist es nun aber so, dass sich das Administratorkonto nur wie ein Standard-Benutzerkonto mit Administratorrechten verh\u00e4lt.<\/p>\n
Normalerweise kann man, wenn man mit dem Benutzer \"Administrator\" arbeitet z.B. direkt eine CMD \u00f6ffnen und hat darin sofort administrative Rechte.<\/p>\n
Der Standard-Benutzer mit Administratorrechten muss hingegen explizit die CMD \"als Administrator\" ausf\u00fchren. Ansonsten erh\u00e4lt er z.B. beim Aufruf von chkdsk ein \"Zugriff verweigert, da Sie nicht \u00fcber ausreichende Berechtigungen verf\u00fcgen\".<\/p>\n
Bei den betroffenen PC wird also selbst der User \"Administrator\" wie ein Standard-Benutzer behandelt, was bei Scripten und geplanten Tasks zu Problemen f\u00fchrt weil u.a. das Schreiben in %program files% und %SystemRoot% nicht m\u00f6glich ist.<\/p>\n
Teilweise . administrieren wir auch remote \u00fcber SSH auf der Befehlszeile um Silent Installationen durchzuf\u00fchren. Das funktioniert dann nat\u00fcrlich auf diesen PC auch nicht. Auch ein \"runas\" geht nicht.<\/p>\n
Ich nutze in allen CMD Scripts, die Admin Rechte erfordern, immer eine Abfrage, ob dieses mit administrativen Rechten l\u00e4uft:<\/p>\n
goto check_Permissions\r\n:check_Permissions\r\necho Check Administrative Permissions\u2026\r\nnet session >nul 2>&1\r\nif %errorLevel% == 0 (goto admin\r\n) else (goto user\r\n)\r\n:admin\r\necho Success: Administrative permissions confirmed.\r\n:user\r\necho Failure: Current permissions inadequate.<\/code><\/pre>\nAuch hier wird auf den betroffenen PC dem User Administrator bescheinigt, nur Standard-Benutzer zu sein. Sehr merkw\u00fcrdig. Auf den betroffenen PC sind keine Gemeinsamkeiten erkennbar. Zum Teil neu installiert, zum Teil von Windows 7 aktualisiert. Einige PC sind sogar vom selben Image betankt. Ein PC zeigt das Verhalten, der andere nicht :-(<\/p><\/blockquote>\n
Zu diesem Kommentar gab es aber keine weiteren Reaktionen aus der Leserschaft.<\/p>\n
Die Ursache<\/h2>\n
Der Blog-Leser hat sich dann sp\u00e4ter nochmals zur\u00fcckgemeldet und schreibt, dass er nach\u00a0ewiger Sucherei ich nun die Ursache gefunden habe. Hier die L\u00f6sung:<\/p>\n
Standardm\u00e4\u00dfig hat der Built-In Benutzer \"Administrator\" auf der Befehlzeile und der GUI volle Rechte und die UAC ist ausgeschaltet.<\/p>\n
Es gibt eine lokale Gruppenrichtlinie, die bewirkt, dass auch f\u00fcr den Built-In Benutzer \"Administrator\" die UAC eingeschaltet wird. Ist diese aktiviert, bekommt er, wie jeder andere User mit Administratorrechten, die Sicherheitsdialoge angezeigt, die er best\u00e4tigen muss und er hat auf der Befehlszeile standardm\u00e4\u00dfig keine Adminrechte, muss CMD also als Administrator starten.<\/p>\n
Aus mir v\u00f6llig unerfindlichen Gr\u00fcnden ist diese Richtlinie bei einigen wenigen PC aktiviert.<\/p><\/blockquote>\n
Die L\u00f6sung ist ein Eingriff in die Registrierung in folgenden Schl\u00fcssel:<\/p>\n
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\<\/pre>\nDort ist der 32-Bit-DWORD-Wert FilterAdministratorToken<\/em> einzutragen und mit folgenden Werte zu versehen:<\/p>\n
\n
- 0 = Ohne Benutzerkontensteuerung (Standard)<\/li>\n
- 1\u00a0 =Mit Benutzerkontensteuerung<\/li>\n<\/ul>\n
Im Nachgang ist ggf. ein Neustart erforderlich, das wars.<\/p>\n
<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"
Kleiner Hinweis auf ein Problem f\u00fcr Administratoren in Unternehmensumgebungen. Leser mvo hat sich gemeldet, weil in seiner Umgebung einige Windows 10 Pro Systeme ein merkw\u00fcrdiges Verhalten zeigen. Die Administratorkonten verhalten sich nur wie ein Standard-Benutzerkonto mit Administratorrechten.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,301],"tags":[4298,3288],"class_list":["post-286301","post","type-post","status-publish","format-standard","hentry","category-problemlosung","category-windows","tag-problemlosung","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/286301","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=286301"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/286301\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=286301"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=286301"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=286301"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}