Администрирование windows server 2016, как разрешить ввод данных администратора?

Question

[nikita61]

При добавлении ПК в доменную сеть при выполнении на конечном компьютере программ от имени администратора, учётная запись не предлагает ввода данных самого администратор для продолжения действия (запуск от имени администратора). Выходит предупреждение что данная функция заблокирована администратором. Где и как можно включить разрешение на ввод данных администратора домена?

Answer 1

[Роман Безруков]

на доменный комп прилетает групповая политика с соответствующим запретом - спрашивайте вашего админа

Answer 2

[CityCat4]

В GPO, вестимо. Запускаешь оснастку групповых политик домена и ищещь. Не администратор домена? Вай, бяда... Что ж, придется к админам идти.

Comments

[nikita61]

Хах, проблема в том, что я и есть системный администратор. Каюсь, что не знаю, но и опыта работы с active directory особо нету. Может знаете какая политика отвечает за это?

[CityCat4]

nikita61, Открываешь оснастку "Групповые политики" (Group Policy Management). Смотришь порядок применения политик, перебираешь по очереди все политики, разворачиваешь каждую. Отвечать может политика с любым наименованием, ограничения нет, хоть #опа.

Answer 3

[pindschik]

Ненене, всё не так.
1) Думаешь головой и планируешь безопасность.
2) Создаешь подразделения в AD исходя из того, что надумал, например: серверы, рабочие места пользователей, серверы терминалов.
3) Например для подразделения "рабочие места" в групповых политиках наделяешь админскими правами группу "Локальные админы". Или вообще только одну учетку "Инсталл01".
4) Для этой же учетки в группе "рабочие места" запрещаешь доступ по сети (а то или наодминят, или червь зашифрует все компы).
5) Добавляешь в группу "Локальные админы" нужных пользователей. Или всех.

Итог - кому положено - админы на своих компах. Но не на терминалах. И не в домене.

Не путай - местоположение компьютера и местоположение пользователя - это разные вещи.
Админские (права) и железячные настройки назначаются компу. Пользовательские - к пользователям.

Comments

[nikita61]

Проблема в том, что "пользователь домена" при запуске программы от имени администратора не получает окно с вводом данных "администратора домена". Подробная ситуация и с доступом в локальную "сеть". Т.Е. нету доступа к общим папкам, а при разрешении (конечно от имени администратора, иначе никак) вообще ничего не появляется (что естественно ибо учетка пользователя, а права нужны админа которые мы не ввели)

[pindschik]

Выдавать запрос на пароль или подавлять его - тоже определяется групповой политикой (ну или проблема с локальной операционкой - "сборка от Васи Пупкина", где все "ненужное" вырезано, а все остальное натюниговано). С сетевыми шарами - учтите - права администратора на них не распространяются. Там все равны, как назначено - так и есть. И кроме того - на сетевые ресурсы есть 2 уровня доступа - доступ к шаре и доступ на уровне файлов - и они могут противоречить друг другу.

[nikita61]

pindschik, прошерстил все политики и не нашел подходящего пункта о запрете на выдачу всплывающего окна с вводом данных администратора пользователю домена

[pindschik]

nikita61,
https://learn.microsoft.com/ru-ru/windows/security...
На старом контроллере домена указанная политика может отсутствовать, тогда придется настроить ее с сервера 2019 или новее.

Или, если у вас сборка "от Васи Пупкина", то
https://remontka.pro/uac-disable-windows-10/