renwin
Goto Top

Domainadmin hat keine Rechte für control.exe

Hallo Community,

ich stehe leider schon direkt am Anfang vor einem Problem.
Erst einmal mein Vorhaben:
- Windows Server 2019 Domänen Controller / DNS
- Windows Server 2019 Exchnageserver 2019

Den Domänen Controller habe ich soweit installiert, jedoch
habe ich keine Rechte als Domainadmin den Netzwerkadapter
zu bearbeiten. Als lokaler Admin ebenfalls nicht mehr.
Da dies bei unserem Windows Server 2011 noch ging, ist nun
meine Frage: Ist das normal oder hab ich was falsch gemacht?
Neuinstallation schon 3 mal, jedoch immer das gleiche Ergebnis.
e1

Content-ID: 396743

Url: https://administrator.de/forum/domainadmin-hat-keine-rechte-fuer-control-exe-396743.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

certifiedit.net
certifiedit.net 25.12.2018 um 12:04:36 Uhr
Goto Top
Hallo,

nein ist nicht normal. Du hast etwas falsch gemacht.

Wenn du Unterstützung (Dienstleistung) brauchst, schreib mir gerne eine PN/Mail.

Viele Grüße und einen schönen 1. Weihnachtsfeiertag.

Christian
certifiedit.net
nEmEsIs
Lösung nEmEsIs 25.12.2018 um 12:40:22 Uhr
Goto Top
Hi

Zufälligerweise was an der UAC geschraubt ???
Was passiert wenn du die exe als Admonistrator ausführst ?

Mit freundlichen Grüßen Nemesis
SeaStorm
SeaStorm 25.12.2018 um 12:48:07 Uhr
Goto Top
Wenn das nach einer Neuinstallation noch so ist, muss das fast aus einer GPO kommen. Und da kann das viel sein.... Den Server verschiebst du am besten Mal in eine eigene OU ganz oben und schaust ins dann geht. Wenn nein, dann muss das an einer GPO hängen, die ganz oben im Root verankert ist.
RenWin
RenWin 25.12.2018 um 13:17:34 Uhr
Goto Top
Zitat von @nEmEsIs:

Was passiert wenn du die exe als Admonistrator ausführst ?

So funktioniert es.
Ich habe wirklich nur eine Grundinstallation von Windows Server 2019 gemacht und die Rolle Active Directory installiert.
Kann man das hinterlegen das automatisch alles mit Adminrechten geöffnet wird? Oder besser (ist das sinnvoll)
Ich bin in Sachen Windows noch neu also her mit Kritik oder Empfehlungen.
Spirit-of-Eli
Spirit-of-Eli 25.12.2018 um 18:30:09 Uhr
Goto Top
Der Server 2019 ist total voll mit Bugs.

Ich habe sogar alle Installationen aus meiner Testumgebung geschmissen.
certifiedit.net
certifiedit.net 25.12.2018 um 18:51:30 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Der Server 2019 ist total voll mit Bugs.

Ich habe sogar alle Installationen aus meiner Testumgebung geschmissen.

Wann hast du denn die letzte Installation vorgenommen? Afaik läuft es seit ca 2 Wochen nun endlich.
Lochkartenstanzer
Lochkartenstanzer 25.12.2018 um 21:39:58 Uhr
Goto Top
Zitat von @certifiedit.net:

Wenn du Unterstützung (Dienstleistung) brauchst, schreib mir gerne eine PN/Mail.

Moin,

Dein "0 sex 0 sex 0 sex - Ruf mich an!" nervt langsam.

lks
certifiedit.net
certifiedit.net 25.12.2018 um 21:47:29 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @certifiedit.net:

Wenn du Unterstützung (Dienstleistung) brauchst, schreib mir gerne eine PN/Mail.

Moin,

Dein "0 sex 0 sex 0 sex - Ruf mich an!" nervt langsam.

lks

Das ist aber eben die Nachfrage. Nervt dich die Nachfrage nicht auch in einem Administrator-Board? face-smile

Übrigens, frohe Weihnacht.
Xaero1982
Xaero1982 26.12.2018 aktualisiert um 16:03:13 Uhr
Goto Top
Zitat von @RenWin:

Hallo Community,

ich stehe leider schon direkt am Anfang vor einem Problem.
Erst einmal mein Vorhaben:
- Windows Server 2019 Domänen Controller / DNS
- Windows Server 2019 Exchnageserver 2019

Den Domänen Controller habe ich soweit installiert, jedoch
habe ich keine Rechte als Domainadmin den Netzwerkadapter
zu bearbeiten. Als lokaler Admin ebenfalls nicht mehr.
Da dies bei unserem Windows Server 2011 noch ging, ist nun
meine Frage: Ist das normal oder hab ich was falsch gemacht?
Neuinstallation schon 3 mal, jedoch immer das gleiche Ergebnis.


Das Problem kann ich im Übrigen bestätigen. Installationsdatum 28.11.2018 - abgesehen von ein paar Tests ist da nichts drauf.
Wenn ich über die Einstellungen gehe und dann auf Netzwerk und Internet und dann auf Ethernet und dann auf "Adapteroptionen ändern" bekomme ich das gleiche Fehlerbild.

Version 1809 - 17763.194

Der Aufruf der Systemsteuerung über das Startmenü geht problemlos.
Gebe ich control.exe ein wird mir zwar das entsprechende Icon angezeigt, aber beim Klick passiert rein gar nichts.
bitnarrator
bitnarrator 26.12.2018 um 20:50:45 Uhr
Goto Top
Moin, ich kann gleiches bestätigen - frische Testumgebung mit Server2016 als DC und Win10 1809 als Client..
Auch ich habe unter Netzwerkverbindungen keinen Zugriff auf die Adaptereinstellungen... Als Domain-Administrator angemeldet....
Xaero1982
Xaero1982 26.12.2018 um 21:28:05 Uhr
Goto Top
Zitat von @bitnarrator:

Moin, ich kann gleiches bestätigen - frische Testumgebung mit Server2016 als DC und Win10 1809 als Client..
Auch ich habe unter Netzwerkverbindungen keinen Zugriff auf die Adaptereinstellungen... Als Domain-Administrator angemeldet....

Meinst du auf dem Client oder auf dem Server?
Weil uns geht es hier gerade um den Server 2019?!

Also gleiches Phänomen bei Win10 1809?
bitnarrator
bitnarrator 26.12.2018 um 21:36:17 Uhr
Goto Top
Auf dem Client, Win10 1809 Build 17763.107 sowie auf dem Server 2016 1607 Build 14393.693
Xaero1982
Xaero1982 26.12.2018 um 21:40:45 Uhr
Goto Top
Aber auf dem Server geht es oder?
bitnarrator
bitnarrator 26.12.2018 um 22:05:54 Uhr
Goto Top
Nein, wie gesagt auf beiden...
RenWin
RenWin 27.12.2018 um 18:28:28 Uhr
Goto Top
Workaround:

C:\Windows\System32\control.exe via CMD als Admin öffnen.
open

network

network1

network2

und fertig
finish
Xaero1982
Xaero1982 29.12.2018 um 12:37:06 Uhr
Goto Top
Danke für die Mühen, aber da gibt es schnellere Wege face-smile aber es geht um Prinzip und das offenbar einige Bugs vorhanden sind.
User79
User79 16.08.2019 um 11:17:59 Uhr
Goto Top
Das Problem existiert in meinem Fall nach wie vor, wenn ich die Windows Version verwende, die durch das Action Pack zur Verfügung gestellt wird. Gibt es mittlerweile eine Lösung? Windows Updates wurden alle installiert.
roeggi
roeggi 25.08.2019 um 19:36:15 Uhr
Goto Top
Ich habe exakt das gleiche Problem mit einem Windows Server 2019. Frisch installiert. Bei gewissen Einstellungen jabe ich als Domain Admin keinen Zugriff.
AsciWhite
AsciWhite 07.09.2019 um 12:36:49 Uhr
Goto Top
sehe ich gerade auch. ich kämpfe mit NTFS Verrechtung und Vererbung und der S*h*iss will nicht so wie es auf Server 2012 noch ging! Zum k*** was M$ einem da für PreAlpha Software für teures Geld andreht!

ja und nun wieder die Wortmeldungen der Trolle, weil ich MS so schlecht mache ...
bhwe-de
Lösung bhwe-de 27.09.2019, aktualisiert am 09.05.2020 um 10:35:53 Uhr
Goto Top
Guten Tag,

es gibt eine Lösung für den Server 2019.
*Update.... Gilt auch für Server 2016*
Das Problem tritt bei allem auf was über die Einstellungen (Zahnrad) bzw. direkt in die Suche eingegeben wird.
Entweder kommt die o.g. Fehlermeldung oder es passiert gar nichts.
Workaround über CMD funktioniert mit fast allem, aber eben nur mit fast allem face-sad

Bei mir hat folgendes geholfen: (Drei Server 2019, neu aufgesetzt, Domain Admin keine Rechte)

Den Editor für lokale Gruppenrichtlinie über CMD mit Administratorrechten öffnen (gpedit.msc) und den folgenden Wert auf Aktiv setzen

Auf den Pfad "Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen" wechseln und dort den Wert für "Benutzerkontosteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto" von Nicht definiert auf Aktiviert ändern.
Einmal Abmelden und wieder Anmelden, alles ist gut.... face-smile


gpedit
alfons1st
alfons1st 22.10.2019 um 10:22:28 Uhr
Goto Top
Du hast meinen Tag gerettet - genau das war die Lösung, die ich gesucht habe und die auf Anhieb funktioniert hat. Selbst die Windows-Aktivierung ging vorher nur mit dem lokalen Adminkonto.
bhwe-de
bhwe-de 23.10.2019 um 22:32:56 Uhr
Goto Top
Hallo alfons1st,
Freut mich, das dir das geholfen hat....
Ich habe auch lange rum experimentiert, aber wollte zumindest kein Geheimnis daraus machen face-smile
FloVie
FloVie 14.01.2020 um 23:19:22 Uhr
Goto Top
Hallo bhwe-de,

besten Dank für die Lösung. Ich habe das bei meinen Systemen, die dieses Verhalten zeigen, einmal eingestellt und mir sind da noch Sachen aufgefallen.

Zitat von @bhwe-de:
Auf den Pfad "Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen" wechseln und dort den Wert für "Benutzerkontosteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto" von Nicht definiert auf Aktiviert ändern.
Einmal Abmelden und wieder Anmelden, alles ist gut.... face-smile

Durch die Änderungen in der GPO im Bereich der Computerkonfiguration, hat bei mir "nur" neu anmelden nicht gereicht, die Änderungen wurden erst übernommen als ich den Server einmal neu gestartet hatte. Ist das korrekt oder hätte es wirklich durch eine einfache Neuanmeldung schon ziehen müssen?

Auf meinem Fileserver hatte ich in den NTFS Berechtigungen auf den Freigaben plötzlich keinen Adminzugriff mehr, um die NTFS Berechtigungen für die Benutzer setzen zu können. Erst als ich die Vererbung wieder eingeschaltet hatte und der Standard DomänenBenutzer hinterlegt war, wurden mir im Reiter "Sicherheit" als Administrator wieder die "normale" uneingeschränkte Ansicht angezeigt. Vererbung abgeschaltet, DomänenBenutzer und lokale BenutzerGruppe raus geschmissen, schon hatte der Admin keinen Adminzugriff mehr.

GPO Einstellung deaktiviert, erhalte im Eventlog zudem auch nebst control.exe die ID's 1008 und 2003, dass in dem System32 Ordner WMI Leistungsdatenindex relevante DLL's nicht mehr zur Verfügung stehen.

Da ich bei der Einrichtung der Domäne diverse GPO's erstellt und auch die Standard GPO's verändert habe, in nicht gerade wenigen Punkten, vermute ich, dass der "Fehler" oder dieses Verhalten der Adminrechte in einem anderen Punkt der GPO's geregelt wird.
Ich habe leider keinen klaren Anhaltspunkt und wäre daher Dankbar wenn jemand noch eine andere Idee zu dem Verhalten hat.

PS: DomainAdmin Konto an einem Win10 Client angemeldet, nichtmal dieses Konto hat "echte" AdminRechte.
Ich bleibe selber auch an dem Fehler dran, da ich dieses Verhalten in meinen Systemen nicht haben möchte.
Auch wenn es mit anderen Wegen lösbar ist, ist dieses Verhalten halt doch etwas "störend".

Danke an Alle für Tipps und Unterstützung.

VG
FloVie
leon123
leon123 21.04.2020 um 14:28:22 Uhr
Goto Top
Knapp 1,5 Jahre stöße ich auf das gleiche Problem und es ist immer noch nicht von Microsoft behoben. Das kann doch nicht sein?
bhwe-de
bhwe-de 09.05.2020 um 10:23:01 Uhr
Goto Top
Hallo FloVie,

sorry für die späte Antwort...
In der Tat verursacht diese Einstellung, das nicht mehr für den Domain-Admin im direkten Zugriff zur Verfügung steht was es eigentlich sollte.
Nur der lokale Admin der Maschine hat dann noch die Berechtigungen.
Tatsächlich hat es bei mir geholfen nur eine Neuanmeldung bei den Servern zu machen und alle Berechtigungen waren wieder da.

Wenn du, wie angegeben, natürlich einiges an den GPO gemacht hast kann es auch sein das die Einstellungen der Computerkonfiguration überschrieben wurden.

Man kann natürlich auch über die GPO diese Einstellungen an allen Maschinen ändern, ich denke es ist mit einem Update gekommen aber bei Server 2016/19 scheint es eine Standarteinstellung nach Neuinstallation zu sein.

Ich finde es auch sehr störend und im Grunde ist es ja kein Fehler sondern NUR eine Einstellung. Aber bei MSFT kann einem auch keiner diesbezüglich helfen.

LG
M
bhwe-de
bhwe-de 09.05.2020 um 10:24:16 Uhr
Goto Top
Wenn auch störend, ist es ja eigentlich kein Fehler, aber ich gebe dir Recht sehr nervig.
Einfach im Hinterkopf behalten und GPO einrichten.
Buzzmack
Buzzmack 07.07.2020 um 14:29:05 Uhr
Goto Top
Wo du Recht hast hast du Recht !
Buzzmack
Buzzmack 07.07.2020 um 14:58:45 Uhr
Goto Top

Den Editor für lokale Gruppenrichtlinie über CMD mit Administratorrechten öffnen (gpedit.msc) ......


runas /user:administrator gpedit.msc
FloVie
FloVie 09.06.2023 um 07:14:01 Uhr
Goto Top
Hallo zusammen,

es müssen knapp 3,5 Jahre rum gehen und man setzt sich einen neuen Server auf, damit man das Problem versteht.
Das hier so beschriebene "Fehlverhalten" ist von MS glaube so gewollt und eine Härtung des Sicherheitskonzeptes.

Ich habe mir in der neuen Domain einen Account erstellt und diesen in die Gruppe "Administratoren" unter "DOMAINNAME\Builtin" gesteckt. Nennen wir diesen Account mal "Admin". Als nächstes habe ich mir einen Account angelegt, nennen wir den mal "DAdmin" und dieser ist Mitglied der Gruppe "Domänen-Admins" in "DOMAINNAME\Users". Das Konto eines lokalen Administrators hat volle Rechte, der Admin hat volle Rechte der DAdmin darf die Control.exe nicht öffnen. Das ist genau das Verhallten was wir festgestellt hatten.
Nutzt man nun den "Admin" aus der Builtin kann ich auf dem FS und dem Printserver alles machen was ich will. Perfekt. Muss ich Änderungen an der Domain vornehmen, nehme ich den DAdmin und selbst wenn der AD-Controller eine andere IP braucht, mache ich das easy mit dem Admin-Account.

Fazit für mich, ich habe nun normale Benutzer, Desktop-Administratoren für die PC's, einen Admin für die Server und einen DAdmin für die Domain. Ergo, ein Account bleibt in einer Admin-Gruppe, das Konzept sieht es nicht vor, dass ein Admin-Account in mehreren Admin-Gruppen ist. Somit muss ich auch keine GPO anlegen und das System läuft äußerst smoooth.... I love it!

Hoffe damit dem ein oder anderen noch helfen zu können.

VG
FloVie
Spirit-of-Eli
Spirit-of-Eli 09.06.2023 um 09:15:34 Uhr
Goto Top
Mir ist heute, nach dem ich deinen Beitrag nochmal gelesen habe, aufgefallen, dass solche Probleme auch beim 2016er Server auftraten. Auch nur bezogen auf die Control.exe.
Z.b. konnte die Defender GUI nicht geöffnet werden (Selbe Fehlermeldung wie oben). Das Problem scheint jetzt allerdings behoben.
FloVie
FloVie 09.06.2023 um 23:39:41 Uhr
Goto Top
Wie gesagt, meine Vermutung ist halt, dass MS das wirklich so beabsichtigt hat. Sobald ich den UserAccount in den Domain-Administrator stecke, darf der Account fast nichts mehr am System ändern. Ist der Account zugehörig zu den Administratoren, geht alles wie es soll. Ich benutze den Domain-Admin nun nur noch für die Domainkonfiguration, alles andere mache ich über ein Konto, welches nur der Gruppe Administratoren zugehörig ist, in der AD als auch per Sicherheitsgruppe auf den Servern. Das hat alle meine Probleme gelöst.

Beste Grüße
FloVie