[решено] Группа, используемая только для запрета

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows 8 и 8.1 (http://forum.oszone.net/forumdisplay.php?f=116)

Группа, используемая только для запрета

Всех приветствую!

На клиентской ОС, включенной в домен, добавляю доменного пользователя в группу Администраторы.

После подключаю сетевой диск (Z) и выполняю в cmd следующее (параметры команды урезаны):

Код:

Z:\amd64\scanstate

Failed.

Administrator privileges are required to run this tool.

Делаю я это не первый раз, но почему-то именно на этой машине такая реакция: "Administrator privileges are required to run this tool".

Тогда я запросил whoami /groups для текущего пользователя:

Код:

Сведения о группах

-----------------



Группа                                          Тип                     SID          Атрибуты                                                     

=============================================== ======================= ============ =============================================================

Все                                             Хорошо известная группа S-1-1-0      Обязательная группа, Включены по умолчанию, Включенная группа

BUILTIN\Администраторы                          Псевдоним               S-1-5-32-544 Группа, используемая только для запрета                      

BUILTIN\Пользователи                            Псевдоним               S-1-5-32-545 Обязательная группа, Включены по умолчанию, Включенная группа

NT AUTHORITY\ИНТЕРАКТИВНЫЕ                      Хорошо известная группа S-1-5-4      Обязательная группа, Включены по умолчанию, Включенная группа

КОНСОЛЬНЫЙ ВХОД                                 Хорошо известная группа S-1-2-1      Обязательная группа, Включены по умолчанию, Включенная группа

NT AUTHORITY\Прошедшие проверку                 Хорошо известная группа S-1-5-11     Обязательная группа, Включены по умолчанию, Включенная группа

NT AUTHORITY\Данная организация                 Хорошо известная группа S-1-5-15     Обязательная группа, Включены по умолчанию, Включенная группа

ЛОКАЛЬНЫЕ                                       Хорошо известная группа S-1-2-0      Обязательная группа, Включены по умолчанию, Включенная группа

NT AUTHORITY\Проверка подлинности NTLM          Хорошо известная группа S-1-5-64-10  Обязательная группа, Включены по умолчанию, Включенная группа

Обязательная метка\Средний обязательный уровень Метка                   S-1-16-8192

Очень смутил атрибут "Группа, используемая только для запрета". Может ли быть в этом проблема?

Спасибо!

P.S. Я могу запускать cmd дополнительно "от имени администратора", но в этом случае не виден подключенный сетевой диск Z.

UPD: в общем, использовал следующий вариант: запустил cmd от имени администратора, выполнил net use, присоединив сетевой диск, а потом уже выполнял команды с сетевого диска - всё заработало.

Но хотелось бы знать в чём может быть проблема? Повторюсь, ранее такого не наблюдалось. UAC, кстати, отключал. И всё жё нормальна ли формулировка атрибута "Группа, используемая только для запрета" для администратора?

Цитата:

Цитата The_Immortal

И всё жё нормальна ли формулировка атрибута "Группа, используемая только для запрета" для администратора? »

Так отображается, когда вы запускаете командную строку(whoami /group) без повышение прав. Запустите с повышением прав и будет отображаться как надо.

С повышенными правами(от имени Администратора):

Без повышенных прав:

Казбек, у меня на другой машине добавлен тот же пользователь в группу Администраторы. Когда я там запускаю whoami /group (без повышение прав), то выдается:

На проблемной же машине всё аналогично, но там получается так:

Почему?

Цитата:

Цитата The_Immortal

На проблемной же машине всё аналогично, но там получается так: »

Даже если с повышенными правами?
Покажите полностью все окно, где вы выполняете команды.( и с проблемной машины, и с вашей)

Казбек,

Цитата:

Цитата Казбек

Даже если с повышенными правами? »

Нет, с повышенными правами всё хорошо :)

В общем, смотрите.

На моей машине запускаю whoami /group через cmd обычным образом (без повышение прав) от доменного пользователя, который входит в группу Администраторы:

whoami

Код:

Сведения о группах

-----------------



Группа                                          Тип                     SID          Атрибуты                                                                      

=============================================== ======================= ============ ==============================================================================

Все                                             Хорошо известная группа S-1-1-0      Обязательная группа, Включены по умолчанию, Включенная группа                 

BUILTIN\Администраторы                          Псевдоним               S-1-5-32-544 Обязательная группа, Включены по умолчанию, Включенная группа, Владелец группы

BUILTIN\Пользователи                            Псевдоним               S-1-5-32-545 Обязательная группа, Включены по умолчанию, Включенная группа                 

NT AUTHORITY\ИНТЕРАКТИВНЫЕ                      Хорошо известная группа S-1-5-4      Обязательная группа, Включены по умолчанию, Включенная группа                 

КОНСОЛЬНЫЙ ВХОД                                 Хорошо известная группа S-1-2-1      Обязательная группа, Включены по умолчанию, Включенная группа                 

NT AUTHORITY\Прошедшие проверку                 Хорошо известная группа S-1-5-11     Обязательная группа, Включены по умолчанию, Включенная группа                 

NT AUTHORITY\Данная организация                 Хорошо известная группа S-1-5-15     Обязательная группа, Включены по умолчанию, Включенная группа                 

ЛОКАЛЬНЫЕ                                       Хорошо известная группа S-1-2-0      Обязательная группа, Включены по умолчанию, Включенная группа                 

NT AUTHORITY\Проверка подлинности NTLM          Хорошо известная группа S-1-5-64-10  Обязательная группа, Включены по умолчанию, Включенная группа                 

Обязательная метка\Высокий обязательный уровень Метка                   S-1-16-12288

На проблемной машине выполняю аналогичные действия от такого же пользователя (который также входит в группу Администраторы):

whoami

Код:

Сведения о группах

-----------------



Группа                                          Тип                     SID          Атрибуты                                                     

=============================================== ======================= ============ =============================================================

Все                                             Хорошо известная группа S-1-1-0      Обязательная группа, Включены по умолчанию, Включенная группа

BUILTIN\Администраторы                          Псевдоним               S-1-5-32-544 Группа, используемая только для запрета                      

BUILTIN\Пользователи                            Псевдоним               S-1-5-32-545 Обязательная группа, Включены по умолчанию, Включенная группа

NT AUTHORITY\ИНТЕРАКТИВНЫЕ                      Хорошо известная группа S-1-5-4      Обязательная группа, Включены по умолчанию, Включенная группа

КОНСОЛЬНЫЙ ВХОД                                 Хорошо известная группа S-1-2-1      Обязательная группа, Включены по умолчанию, Включенная группа

NT AUTHORITY\Прошедшие проверку                 Хорошо известная группа S-1-5-11     Обязательная группа, Включены по умолчанию, Включенная группа

NT AUTHORITY\Данная организация                 Хорошо известная группа S-1-5-15     Обязательная группа, Включены по умолчанию, Включенная группа

ЛОКАЛЬНЫЕ                                       Хорошо известная группа S-1-2-0      Обязательная группа, Включены по умолчанию, Включенная группа

NT AUTHORITY\Проверка подлинности NTLM          Хорошо известная группа S-1-5-64-10  Обязательная группа, Включены по умолчанию, Включенная группа

Обязательная метка\Средний обязательный уровень Метка                   S-1-16-8192

Цитата:

Цитата The_Immortal

На проблемной машине выполняю аналогичные действия от такого же пользователя (который также входит в группу Администраторы): »

На проблемной машине выполняется так, как должно на всех стандартных системах.

Цитата:

Цитата The_Immortal

На моей машине запускаю whoami /group через cmd обычным образом (без повышение прав) от доменного пользователя, который входит в группу Администраторы: »

Сделайте мне скрин полностью этого окна, полностью. Спасибо.

Казбек,

Цитата:

Цитата Казбек

На проблемной машине выполняется так, как должно на всех стандартных системах. »

Это когда UAC настроен на умолчание. У меня же он и там, и там выключен.

Цитата:

Цитата Казбек

Сделайте мне скрин полностью этого окна, полностью. Спасибо. »

Пожалуйста:

The_Immortal,
Теперь посмотрите на заголовок вашего окна, первое слово там: Администратор. Это и есть ответ на ваш вопрос. Значит строка уже запущена с повышенными правами.

Казбек, спасибо за разъяснения!

В общем, проблема на изначальном компьютере была в локальной политике - был активен параметр "Контроль учетных записей: включение режима одобрения администратором".

Цитата:

Цитата The_Immortal

был активен параметр »

Он по умолчанию включен. Я так понимаю, что у вас он был выключен, поэтому и запроса на повышение прав не поступало.

Казбек,

Цитата:

Цитата Казбек

Я так понимаю, что у вас он был выключен, поэтому и запроса на повышение прав не поступало. »

Всё именно так, только с точностью наоборот :) Когда данный параметр выключен, то всё автоматически выполняется в режиме "повышения прав" - без дополнительного запроса. На проблемной же машине он у меня был включен - поэтому и была необходимость запрашивать повышение прав.
А по умолчанию да, данный параметр активен.