问题:
Windows 10 突然不断从所有人中删除本地机器管理员权限,只剩下已禁用的内置管理员帐户,幸运的是我能够重新获得控制权。
机器信息:
家中的 Win10Pro,不在域中
当地管理员希望:
所有帐户。我以前都是手动添加所有帐户,但经过身份验证的用户组也可以。
Windows 正在做什么:
https://i.stack.imgur.com/BKCkB.png(删除经过身份验证的用户,终止所有用户的管理员权限)
采取的步骤:
查看了 rsop.msc 和 secpool.msc 中是否有任何可能的组策略类型设置,但找不到任何设置。我关闭了 Windows Defender 转而使用 ESET,机器上没有其他特殊设置。我创建了一个批处理,每 1 秒不断检查一次,并在我失去管理员权限时立即通知我。这让我看到了我发布的图片。每次发生这种情况时,我都没有做任何特别的事情。我想这可能与不再以本地帐户运行有关(M$ 希望您登录帐户并在您使用他们的服务时自动绑定您,谢谢 M$)。我退出并再次运行我的检查器,仍然被重置。
奇怪的是,它强制管理员组中有两个带有 ? 标记的帐户。注册表中没有 .bak 帐户,这表示帐户已损坏,我已运行 SFC/CHKDSK,以确保没有发生损坏。我在高级注册表搜索器中搜索了它们,发现它们都只在一个地方定义...本地管理员组的后端默认 ACL(据我所知):
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\Providers\C265A0F4-1D1E-47F6-A1AD-C5E571620175\default\Device\LocalUsersAndGroups
使用这个我找到了这篇文章:https://docs.microsoft.com/en-us/windows/client-management/mdm/policy-csp-localusersandgroups...因此我尝试将组操作设置为“U”以进行更新,添加主帐户并将其推送到注册表项,但稍后再回来查看却发现它已恢复到原来的状态。
我唯一的想法是,也许工作上的一些激进政策以某种方式侵入了我的本地机器,但我不知道如果是这样的话是怎么回事。
我这么多年从来没有遇到过这个问题,现在它让我抓狂了。:) 不,我不想重新格式化... 如果事情发展到这个地步,我会编写一个脚本来不断覆盖权限。该死的 Windows 10。
编辑:我发现它已经连续两天在 11:26AM 运行了。任务计划程序中没有任何内容可以解释它。我可能会在此时观察计算机上的所有进程,看看是否能弄清楚……
答案1
好吧,事情是这样的,我使用工作许可证在家中登录了 O365 应用,并将我的家用机器与工作绑定在一起。尽管不在域中,但这将我的设备置于 Microsoft Intune 管理之下。在工作中,我们肯定设置了清空本地管理员组的策略。这段视频几乎完全反映了我在这里看到的情况:https://youtu.be/rDzHJwG-Vjk?t=2464
再次强调,这不会显示为任何本地计算机策略。但是,当我在注册表中搜索 ? 键时,我确实发现它们被归档在 PolicyManager 和与 Policy CSP 相关的文章下。正如您在视频中看到的那样,它就在那里。
如何修复?在开始中输入“您的信息”并查看帐户,您可能会看到它只有“管理”而没有删除功能,因为您已注册 MS Intune,并且垃圾在您的计算机中。
看: https://docs.microsoft.com/en-us/mem/intune/user-help/unenroll-your-device-from-intune-windows
有一个特殊的 intune 门户不会显示在您的 O365 帐户页面上。不要在那里点击禁用,它说它会锁定机器...
https://portal.manage.microsoft.com/devices
在这里您应该能够登录并在您的终端上进行管理,只需删除设备即可。否则,请与贵公司的管理员联系。