kliffgomel
11-05-2017, 17:49
Машина с Win10 Enterprise LTSB подключена к домену WinSrv2003. Вход в систему осуществляется под доменной учетной записью, включенной в группу администраторов домена. Эта же запись добавлена в группу локальных администраторов машины, UAC отключен.
Сведения о пользователе
----------------
Пользователь SID
=============== =============================================
domen\user S-****
Сведения о группах
-----------------
Группа Тип SID Атрибуты
=============================================== ======================= ============================================= ==============================================================================
Все Хорошо известная группа S-1-1-0 Обязательная группа, Включены по умолчанию, Включенная группа
BUILTIN\Администраторы Псевдоним S-1-5-32-544 Обязательная группа, Включены по умолчанию, Включенная группа, Владелец группы
BUILTIN\Пользователи Псевдоним S-1-5-32-545 Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\ИНТЕРАКТИВНЫЕ Хорошо известная группа S-1-5-4 Обязательная группа, Включены по умолчанию, Включенная группа
КОНСОЛЬНЫЙ ВХОД Хорошо известная группа S-1-2-1 Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\Прошедшие проверку Хорошо известная группа S-1-5-11 Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\Данная организация Хорошо известная группа S-1-5-15 Обязательная группа, Включены по умолчанию, Включенная группа
ЛОКАЛЬНЫЕ Хорошо известная группа S-1-2-0 Обязательная группа, Включены по умолчанию, Включенная группа
domen\Пользователи VPN Группа S-1-5-21-3421986805-4242262271-862597037-2123 Обязательная группа, Включены по умолчанию, Включенная группа
domen\Directumusers Группа S-1-5-21-3421986805-4242262271-862597037-1395 Обязательная группа, Включены по умолчанию, Включенная группа
domen\caste Группа S-1-5-21-3421986805-4242262271-862597037-1226 Обязательная группа, Включены по умолчанию, Включенная группа
domen\OperSvedGroup Группа S-1-5-21-3421986805-4242262271-862597037-1287 Обязательная группа, Включены по умолчанию, Включенная группа
domen\Администраторы домена Группа S-1-5-21-3421986805-4242262271-862597037-512 Обязательная группа, Включены по умолчанию, Включенная группа
Обязательная метка\Высокий обязательный уровень Метка S-1-16-12288
Сведения о привилегиях
----------------------
Имя привилегии Описание Область, край
========================================= ====================================================================== =============
SeIncreaseQuotaPrivilege Настройка квот памяти для процесса Отключен
SeMachineAccountPrivilege Добавление рабочих станций к домену Отключен
SeSecurityPrivilege Управление аудитом и журналом безопасности Отключен
SeTakeOwnershipPrivilege Смена владельцев файлов и других объектов Отключен
SeLoadDriverPrivilege Загрузка и выгрузка драйверов устройств Отключен
SeSystemProfilePrivilege Профилирование производительности системы Отключен
SeSystemtimePrivilege Изменение системного времени Отключен
SeProfileSingleProcessPrivilege Профилирование одного процесса Отключен
SeIncreaseBasePriorityPrivilege Увеличение приоритета выполнения Отключен
SeCreatePagefilePrivilege Создание файла подкачки Отключен
SeBackupPrivilege Архивация файлов и каталогов Отключен
SeRestorePrivilege Восстановление файлов и каталогов Отключен
SeShutdownPrivilege Завершение работы системы Отключен
SeDebugPrivilege Отладка программ Отключен
SeSystemEnvironmentPrivilege Изменение параметров среды изготовителя Отключен
SeChangeNotifyPrivilege Обход перекрестной проверки включен
SeRemoteShutdownPrivilege Принудительное удаленное завершение работы Отключен
SeUndockPrivilege Отключение компьютера от стыковочного узла Отключен
SeManageVolumePrivilege Выполнение задач по обслуживанию томов Отключен
SeImpersonatePrivilege Имитация клиента после проверки подлинности включен
SeCreateGlobalPrivilege Создание глобальных объектов включен
SeIncreaseWorkingSetPrivilege Увеличение рабочего набора процесса Отключен
SeTimeZonePrivilege Изменение часового пояса Отключен
SeCreateSymbolicLinkPrivilege Создание символических ссылок Отключен
SeDelegateSessionUserImpersonatePrivilege Получить маркер олицетворения для другого пользователя в том же сеансе Отключен
СВЕДЕНИЯ ОБ УТВЕРЖДЕНИЯХ ПОЛЬЗОВАТЕЛЯ
-------------------------------------
Утверждения пользователя неизвестны.
Поддержка динамического контроля доступа Kerberos на этом устройстве отключена.
Не смотря на это, для работы отдельных приложений, требующих повышенных прав, или получения доступа на запись к системному диску, необходимо запускать программы (файловые менеджеры) от имени администратора, что при частом использовании весьма раздражает.
Подскажите, как получить постоянный полный доступ к локальной машине без необходимости постоянного подтверждения прав администратора?
P.S. На системе Win7 такая проблема отсутствует...
Сведения о пользователе
----------------
Пользователь SID
=============== =============================================
domen\user S-****
Сведения о группах
-----------------
Группа Тип SID Атрибуты
=============================================== ======================= ============================================= ==============================================================================
Все Хорошо известная группа S-1-1-0 Обязательная группа, Включены по умолчанию, Включенная группа
BUILTIN\Администраторы Псевдоним S-1-5-32-544 Обязательная группа, Включены по умолчанию, Включенная группа, Владелец группы
BUILTIN\Пользователи Псевдоним S-1-5-32-545 Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\ИНТЕРАКТИВНЫЕ Хорошо известная группа S-1-5-4 Обязательная группа, Включены по умолчанию, Включенная группа
КОНСОЛЬНЫЙ ВХОД Хорошо известная группа S-1-2-1 Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\Прошедшие проверку Хорошо известная группа S-1-5-11 Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\Данная организация Хорошо известная группа S-1-5-15 Обязательная группа, Включены по умолчанию, Включенная группа
ЛОКАЛЬНЫЕ Хорошо известная группа S-1-2-0 Обязательная группа, Включены по умолчанию, Включенная группа
domen\Пользователи VPN Группа S-1-5-21-3421986805-4242262271-862597037-2123 Обязательная группа, Включены по умолчанию, Включенная группа
domen\Directumusers Группа S-1-5-21-3421986805-4242262271-862597037-1395 Обязательная группа, Включены по умолчанию, Включенная группа
domen\caste Группа S-1-5-21-3421986805-4242262271-862597037-1226 Обязательная группа, Включены по умолчанию, Включенная группа
domen\OperSvedGroup Группа S-1-5-21-3421986805-4242262271-862597037-1287 Обязательная группа, Включены по умолчанию, Включенная группа
domen\Администраторы домена Группа S-1-5-21-3421986805-4242262271-862597037-512 Обязательная группа, Включены по умолчанию, Включенная группа
Обязательная метка\Высокий обязательный уровень Метка S-1-16-12288
Сведения о привилегиях
----------------------
Имя привилегии Описание Область, край
========================================= ====================================================================== =============
SeIncreaseQuotaPrivilege Настройка квот памяти для процесса Отключен
SeMachineAccountPrivilege Добавление рабочих станций к домену Отключен
SeSecurityPrivilege Управление аудитом и журналом безопасности Отключен
SeTakeOwnershipPrivilege Смена владельцев файлов и других объектов Отключен
SeLoadDriverPrivilege Загрузка и выгрузка драйверов устройств Отключен
SeSystemProfilePrivilege Профилирование производительности системы Отключен
SeSystemtimePrivilege Изменение системного времени Отключен
SeProfileSingleProcessPrivilege Профилирование одного процесса Отключен
SeIncreaseBasePriorityPrivilege Увеличение приоритета выполнения Отключен
SeCreatePagefilePrivilege Создание файла подкачки Отключен
SeBackupPrivilege Архивация файлов и каталогов Отключен
SeRestorePrivilege Восстановление файлов и каталогов Отключен
SeShutdownPrivilege Завершение работы системы Отключен
SeDebugPrivilege Отладка программ Отключен
SeSystemEnvironmentPrivilege Изменение параметров среды изготовителя Отключен
SeChangeNotifyPrivilege Обход перекрестной проверки включен
SeRemoteShutdownPrivilege Принудительное удаленное завершение работы Отключен
SeUndockPrivilege Отключение компьютера от стыковочного узла Отключен
SeManageVolumePrivilege Выполнение задач по обслуживанию томов Отключен
SeImpersonatePrivilege Имитация клиента после проверки подлинности включен
SeCreateGlobalPrivilege Создание глобальных объектов включен
SeIncreaseWorkingSetPrivilege Увеличение рабочего набора процесса Отключен
SeTimeZonePrivilege Изменение часового пояса Отключен
SeCreateSymbolicLinkPrivilege Создание символических ссылок Отключен
SeDelegateSessionUserImpersonatePrivilege Получить маркер олицетворения для другого пользователя в том же сеансе Отключен
СВЕДЕНИЯ ОБ УТВЕРЖДЕНИЯХ ПОЛЬЗОВАТЕЛЯ
-------------------------------------
Утверждения пользователя неизвестны.
Поддержка динамического контроля доступа Kerberos на этом устройстве отключена.
Не смотря на это, для работы отдельных приложений, требующих повышенных прав, или получения доступа на запись к системному диску, необходимо запускать программы (файловые менеджеры) от имени администратора, что при частом использовании весьма раздражает.
Подскажите, как получить постоянный полный доступ к локальной машине без необходимости постоянного подтверждения прав администратора?
P.S. На системе Win7 такая проблема отсутствует...