[Windows Server 2019] Nach Einzug in Domain fehlen Berechtigungen

[MetalForLive]

Hallo zusammen,

ich musste meinen Homeserver neu aufsetzen, da die alte Hardware abgeraucht ist.
Daraufhin habe ich einen Win Server 2019 aufgesetzt und die alte Festplatte vom Homeserver in Hyper-V virtualisiert.
Das alte OS ist ein Win Server 2012R2, dort läuft unter anderem der Domänencontroller drauf.
Um die Domain auf den neuen Server zu migrieren habe ich ihn dann mit als DC in die bestehende Domäne aufgenommen was soweit auch geklappt hat.
Jetzt habe ich allerdings das Problem, dass manche Sachen wegen fehlender Berechtigungen nicht funktionieren.
z.B. kann ich Programme nicht deinstallieren oder auf die Adapteroptionen der Netzwerkkarte nicht zugreifen.
Ich vermute, weil das lokale Adminkonto in das AD Admin Konto umgewandelt wurde.
Den Lokalen Admin gibt es jedenfalls so nicht mehr.

Hat jemand eine Idee wie ich das wieder hin bekomme ?
Fehlermeldungen pack ich mal in den Anhang.

Edit:
Berechtigungen für die Pfade habe ich aber auf jeden Fall.

 

[DocWindows]

Hast du dir mal die Berechtigungen bei der setup.exe von CHarome auf Dateiebene angeschaut?
Gibts da unbekannte Benutzer die nur durch die SID dargestellt werden?

Normalerweise sollte es keine solchen Probleme geben wenn man das Admin-Konto in das Domänen-Admin Konto hochstuft (wenn man das so sagen möchte). Denn der Domänen-Admin darf auf Serverebene das gleiche wie ein lokaler Administrator.

Gruppenrichtlinien für Domänencontroller, bzw. die Domäne, könnte man bei der Gelegenheit auch mal prüfen.

 

[MetalForLive]

Hast du dir mal die Berechtigungen bei der setup.exe von CHarome auf Dateiebene angeschaut?
Gibts da unbekannte Benutzer die nur durch die SID dargestellt werden?

Die Berechtigungen sehen so aus wie im Anhang.
Selbst wenn ich den Administrator nochmal mit Vollzugriff manuell hinzufüge geht es nicht.
Allerdings nur über die Systemsteuerungen, wenn ich die setup.exe einfach anklicke wird sie ausgefüht.


Auch wenn ich die Systemsteurungen über "C:\Windows\System32\control.exe" öffne kann ich ganz normal die Netzwerkadapter etc. ändern.
Nur wenn ich über den Desktop gehe unten auf das Netzwerksymbol schmeißt er die Fehlermeldung von oben.

 

[kamblars]

Welchen Benutzer verwendest du denn wenn du die Fehlermeldung bekommst?

 

[MetalForLive]

den "domäne"\Administrator
Dieser ist logischerweise in der Gruppe "Administratoren".

Edit:
Hab jetzt nen neuen Benutzer "server-admin" angelegt und in die Gruppe "Administratoren" gepackt, mit dem funktioniert alles wie es soll.
An sich macht es ja auch Sinn das default "Administrator" Konto zu deaktivieren und ein anderes zu nutzen.
Trotzdem würde es mich interessieren warum ich mit dem normalen Administrator Konto diese Fehler bekomme.

 

[kamblars]

Öffne mal eine Befehlszeile und guck was „repadmin /showrepl“ ausgibt.

 

[MetalForLive]

Alles erfolgreich.
Wenn ich auf dem neuen Server einen User im AD anlege, wird der auch auf den alten repliziert also das läuft soweit.

 

[kamblars]

Elevated command prompt, run gpedit.msc

Navigate to Computer Configuration->Windows Settings->Security Settings->Local Policies->Security Options

Enable "User Account Control: Admin Approval Mode for the Built-in Administrator account"

Reboot and try again.

Bereits erledigt?

 

[MetalForLive]

Tatsache, das wars.
Danke !

 

[kamblars]

Hätteste aber auch selbst geschafft, Beitrag 20 im angeklickten Link!

 

[MetalForLive]

Ja ich wusste nicht so recht wie ich das googlen soll 🙈

 

[kamblars]

Einfach die Fehlermeldung, dabei machst du nichts falsch.
Die Lösung versteckt sich manchmal auch erst auf Seite 6-9 der Google Treffer. Aber du kannst davon aus gehen, dass jemand anderes das Problem schon mal hatte. Egal welches Problem es ist

Dann viel Spaß mit der Maschine, vergiss nicht die FSMO Rollen von dem alten auf den neuen zu übertragen bevor du ihn abschaltest!

 

[leon_20v]

Ich hab den Fehler auch, ist das ein Bug oder was will Microsoft uns damit sagen?

Ist doch komisch, dass man das extra konfigurieren muss?

 

[morcego]

De facto ist es ein Bug im 2019. Bei alten MMC basierten Fenstern kommt es immer beim Aufrufen aus der Windows Suche oder der neuen "Systemsteuerung" (Win+I) zu diesem Problem. Ruft man die Konsolen direkt aus der Systemsteuerung oder dem Startmenü auf, klappt es problemlos. Die Lösung dafür ist Cholera: Abschalten der UAC.
Das was wir dazu im Netz gefunden haben, sarkastisch: MS möchte, dass du dir als Admin wieder die Abkürzungen für die alten MMC-Konsolen merkst. Dann kannst du die direkt eingeben. 💞

[PS: Was glaube ich bei uns geholfen hatte war Lokale Sicherheitsrichtlinie > Lokale Richtlinien > Sicherheitsoptionen > Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte .... Eingabeaufforderung zur Zustimmung für Nicht-Windows Binärdateien.]

Was auch auftritt, dass bei Alt+F4 auf dem Desktop direkt der Remote-Desktop abgemeldet wird. Das war auch eine krude Kombination aus WDS-Image direkt in die Domäne und lokalen Rechten.

 

[Kiso]

Das kam mit irgendeinem Windows Update und ist jetzt Standard.

Du kannst das via lokaler oder (noch besser) Domänen Gruppenrichtlinie lösen.

https://www.andysblog.de/windows-10-domaenen-administrator-hat-keine-ausreichenden-berechtigungen

Grüße