IT

Domain-Admin hat keine Rechte für control.exe und mmc.exe unter Windows Server 2019

Ein unschöner Fehler hat sich im Windows Server 2019 eingeschlichen. Nach der Installation funktioniert dieser an sich ohne Einschränkungen. Die Probleme beginnen, nach dem man diesen einer Domäne hinzugefügt hat und dann mit dem Domain-Admin Änderungen an der Netzwerkkonfiguration vornehmen möchte. Hier hat Microsoft anscheinend bei den Berechtigungen irgendetwas versaut.

Problem

Beim Versuch als Domänen-Administrator die Einstellungen eines Netzwerkadapters über die neue „Einstellungen“-App über den Punkt „Netzwerk und Internet“ und dann über „Ethernet“ zu öffnen, erhält man in der aktuellen Version des Servers 2019 folgende Fehlermeldung:

Auf das angegebene Gerät bzw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen ggf. nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können.

 

Wenn man nach der „control.exe“ sucht, wird zwar das entsprechende Icon im Startmenü angezeigt, aber wenn man dieses anklickt passiert einfach nichts. Nicht mal eine Fehlermeldung kommt.

Das gleiche Problem hat man auch bei vielen anderen Administratorwerkzeugen. Anscheinend tritt das Problem bei allem auf, was über die „Einstellungen“-App gesucht wird oder wenn der Name der .exe bzw. des Tools, wie „gpedit.msc“ für die Gruppenrichtlinienbearbeitung, in die Suche im Startmenü eingegeben wird.

 

Workarounds

Man kann die eben angesprochene „control.exe“ einfach mit (lokalen) Administratorrechten starten und landet dann in der alten Systemsteuerung. Entweder muss man diese hierzu über das Kontextmenü im System32-Ordner „als Administrator“ starten oder man öffnet eine administrative Kommandozeile und gibt dann einfach „control.exe“ bzw. den Namen des jeweiligen Tools wie gpedit.msc ein.

Merkwürdig: Administrativ muss die Konsole dafür komischerweise anscheinend gar nicht unbedingt sein! Auch den deutschen Eintrag „Systemsteuerung“ kann man, im Gegensatz zu „control.exe“, einfach im Startmenü ohne Administratorrechte öffnen und man scheint dann keine Einschränkungen zu haben.

In der alten Systemsteuerung kann man z. B. auch die Gruppenrichtlinienverwaltung ohne Probleme öffnen, man muss den ganzen Mist nur umständlich suchen:

Du benötigst gezielte Hilfe bei deinem IT-Projekt? Schreib mir gerne eine E-Mail mit deinem Anliegen an tolan@devilatwork.de für ein individuelles Angebot.

 

Dauerhafte Lösungen

Nicht alles alte ist schlecht. Die beste Lösung ist wohl einfach wieder die gute alte Systemsteuerung zu bemühen. In dieser konnte ich keine Probleme feststellen. Zumindest nicht in der aktuellsten Version des Servers 2019. Wenn man diese einfach über den Eintrag im Startmenü öffnet, lässt sich wie gewohnt der Netzwerkadapter etc. bearbeiten. Sollte es über diesen Eintrag im Startmenü jedoch nicht der Fall sein, kann man sich auch einfach eine Verknüpfung zu der „control.exe“ aus dem System32-Ordner anlegen.

Wie in den Kommentaren netterweise gemeldet, kann man wohl mit einer Gruppenrichtlinie dieses Verhalten wieder ändern. Hierzu muss man unter Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen den Punkt „Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto“ auf Aktiviert setzen:

 

Vielleicht doch gewollt gewesen?

In einem Forum schrieb jemand, dass es aus Sicherheitsgründen schon Sinn machen würde, wenn der Domain-Admin diese Rechte gar nicht hat. Denn er administriert die Domäne und nicht einzelne Arbeitsplätze oder Server. Ja, das wäre aus Sicherheitsgründen schon verständlich, aber nervig, wenn das wirklich so wäre oder sein soll.

 

Tobias Langner

Tobias Langner

Ich arbeite seit mehreren Jahren als Software-Release-Manager, zuvor als IT-Administrator, bin ausgebildeter Fachinformatiker für Systemintegration und Studium-"Pausierer" an der FernUni Hagen. Achtung: Für die Richtigkeit der zur Verfügung gestellten Informationen, Skripte, etc. übernehme ich keine Gewähr. Deren Nutzung geschieht ausdrücklich auf eigene Gefahr!

Alle Beiträge ansehen von Tobias Langner →

6 Gedanken zu “Domain-Admin hat keine Rechte für control.exe und mmc.exe unter Windows Server 2019

  1. Ich hatte das selbe Problem und habe auf dem Blog von Christopher Pope eine aberwitzige Lösung gefunden.

    Es gibt eine Gruppenrichtlinie, die den Zugriff wieder ermöglicht.

    Dazu einfach unter

    die Einstellung „Administratorgenehmigungsmodus für das integrierte Administratorkonto“ auf „Aktiviert“ setzen.

    Den Zusammenhang zwischen dem integrierten Administratorkonto und dem Problem, was ja Domänenadmins betrifft, versteht wahrscheinlich nur der Erfinder des Features 😉

    Wenn man solche Richtlinien nicht ordentlich dokumentiert, weiß später keiner mehr, wozu sie da sind. Aber Hauptsache das Problem ist weg und wir Admins waren mal wieder ein Stündchen beschäftigt.

    Quelle der Lösung: https://hope-this-helps.de/serendipity/archives/Windows-2019-Domainadmin-hat-keine-Berechtigung-fuer-control.exe-oderund-rundll32.exe-620.html

    1. Hallo kleinerbub,

      danke für den Kommentar. Wirklich interessant, was da immer alles undokumentiert eingebaut wird.

      Wenn ich es richtig verstanden habe, dann soll es so eingebaut worden sein, weil es keine Notwendigkeit geben würde, dass der Domain-Admin diese Rechte hat. Laut irgendeiner Seite die ich dazu fand, soll der Domain-Admin nicht zur Administration einzelner Server genutzt werden, was aus Sicherheitsbedenken durchaus Sinn machen kann. In der Praxis aber nutzt den Domain-Admin sowieso jeder, von daher eine dämliche Anpassung. Zumal es ja seit Ewigkeiten so gewesen ist, dass der Domain-Admin diese Rechte hatte.

      mfg
      Tobias

  2. Ich habe dieses Verhalten auch auf Windows 10 Build 20H2. Interessant hier ist, dass ein paar Domain-User die Adapter-Einstellungen öffnen können und ein paar andere wieder nicht. diese bekommen sodann die Meldung mit dem Rechteproblem.

    1. Hallo,

      danke für den Kommentar, aber beim Wordaround hatte ich bereits geschrieben, dass man es über die CMD aufrufen kann. Aber doppelt hält besser 😉

      mfg
      Tobias

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert