[Active Directory] Lid van Administrators geen administrator

Ik heb een heel klein domein met een aantal OUs. Om de zaak overzichtelijk te maken heb ik direct onder het domein een aantal nieuwe OUs gemaakt voor users en computer (ik gebruik dus niet de OUs die al standaard aanwezig zijn).
Vrijwel alles gaat goed alleen heeft de enige user die ik als administrator wil hebben geen administrator rechten. Hij is wel lid van de builtin\administrators group. Bij de administrators group zie ik hem als member en bij de user zie ik hem als als member of administrators. Daarentegen als ik met deze user inlog op een domain server heb ik geen administrator rechten.

Als ik WHOAMI /GROUPS /FO LIST uitvoer zie ik alle groepen waar ik lid van ben behalve administrators
Het enige verschil tussen de groepen en de administrators groep is dat de getoonde groepen onder Users vallen en de administrators groep onder builtin.

Waar kan dit aan liggen of kan ik nog onderzoeken?

joeri681 schreef op maandag 12 juni 2017 @ 12:20:
Ik heb een aantal vragen voor jou Heb je ook security groups? Hoe is je OU opgebouwd? Heb je de security op gebruikers niveau ook aangepast?

Ik heb 1 security group. Waar alle members van de group inzitten (ook de admin to be).
Mijn OUs vallen allemaal direct onder het domain, er zijn geen child OUs. (ik hoop dat dit is wat je bedoelt).
De security op gebruikers niveau is aangepast in mijn poging de users local admin te maken op de laptops maar niet op de servers. Dit laatste heb ik gedaan door een policy aan te maken die de security groep toevoegd aan de Restricted groups (Computer, Policies, Windows Settings, Security Settings, Restricted Groups). Volgens mij werkt dit laatste nog niet want ik zie deze groep nog niet terug komen bij local user groups.

Question Mark schreef op maandag 12 juni 2017 @ 12:55:
[...]
Hoe weet je dat?

[...]

Bij het instaleren van bijvoorbeeld RAT krijg ik de melding dat alleen member van de administrators group rechten hebben om installeren.


Is dit niet gewoon UAC die het administrator token niet zichtbaar maakt, maar je standard token presenteerd. Draai hetzelfde commando nog eens in een elevated prompt?

Gedaan, hetzelfde resultaat.


Daarnaast zijn in een default inrichting de "Domain Admins" lid van de local administrators op een server of werkplek, en niet de Builtin\Administrators.


De admin user is ook lid van Domain Admins, dit komt wel terug in de whoami lijst.

Question Mark schreef op maandag 12 juni 2017 @ 13:19:
Controleer het lidmaatschap van de local group "Administrators" eens? Default zou daar de Domain Global group "Domain Admins" in moeten staan.

Als je user lid is van deze groep, én hij logt opnieuw aan dan zou hij administrator rechten moeten hebben...

Bij local Users zie ik onder de administrators group alleen de member administrator staan. Als ik de domain admin groep probeer toe te voegen dan verdwijnt het na een restart.

[ Voor 51% gewijzigd door battler op 12-06-2017 14:05 ]

Ik denk dat ik die fout ook heb gemaakt. Ik loop even de GPOs na ofdat de Policy om users local admin te maken ook niet op de servers staat.

Bedankt voor de hulp! De policy die ik had gemaakt om de users local admin te maken op hun devices had ik ook op de servers staan. Policy verwijderd voor de users, handmatig domain admins toegevoegd en ik kan weer alles! Alleen nog even kijken welke members de adminstrators groep standaard heeft zodat ik het ook voor de laptops netjes heb staan.

[ Voor 55% gewijzigd door battler op 12-06-2017 14:16 ]

Goede tip, ga ik zeker doen!