域管理员组已从本地管理员组中删除,但收到非管理员应用程序的 UAC 提示

域管理员组已从本地管理员组中删除,但收到非管理员应用程序的 UAC 提示

所以,我有一个奇怪的问题,在互联网上找不到。我们正在尝试在公司设置特权访问工作站。

我们已从 PAW 上的本地管理员组中删除了域管理员组。当我们这样做时,几个应用程序将显示 UAC 提示,尽管我没有这样做run as administrator。当您输入帐户密码时,它会按预期工作并且没有管理访问权限。因此,权限是正确的,一切都按预期工作,但在打开任务管理器、各种 RSAT 工具等时,必须再次输入密码,这很烦人。我想强调的是,我没有以管理员身份运行这些,但它仍然弹出 UAC。是否有某个设置影响了这一点?我在一台新机器上尝试了这一点,该机器完全没有将 GPO 应用于用户或计算机。

编辑:我已尝试通过控制面板和 GPO 完全禁用 UAC,Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode但无法让它消失。

答案1

已知问题是 UAC 无法正确计算用户是否真正拥有管理员令牌。高级域组中的用户(如域管理员)无论其本地计算机组成员身份如何,仍将被视为“管理员”,因此 UAC 会提示输入凭据。人们可能会认为这是一个错误,也可能是一个功能 :/

此外,“用户帐户控制必须自动拒绝标准用户的提升请求”策略设置会破坏域管理员特权访问工作站(域管理员不是本地管理员)的功能。尝试打开“特权应用程序”(如 RSAT 工具)会导致策略立即阻止。通过将标准用户的提升提示行为从“自动拒绝”更改为“提示凭据”,可以解决此问题。

对于许多组织来说,必须启用这些设置才能通过安全审核。随着特权访问工作站变得越来越主流,微软或许会修复此行为。

关于此行为还有更多讨论这里这里

对于这种情况,可以选择的一个方法是使用RunAsInvoker 禁止 UAC 提示。您可以在 PAW 桌面上保存快捷方式,以允许运行工具而无需额外的提升权限提示。该工具将在登录用户的权限下运行,但不是在提升的上下文中运行。如果您以域管理员身份登录,您将在运行的工具中拥有该级别的访问权限。我发现的一个缺点是,如果某个工具(如组策略管理控制台)打开其他应用程序(如用于编辑 GPO 的组策略编辑器管理单元),这些应用程序仍会提示您输入凭据。所以,它并不完美。

以下是启动 Active Directory 用户和计算机而不提示输入凭据的示例:

cmd.exe /C "SET __COMPAT_LAYER=RunAsInvoker & START MMC.exe DSA.msc"

相关内容