teiomi
Goto Top

Hauptbenutzern das Ändern der Systemzeit verbieten

Hallo Helfende,

ich habe, wie einige andere auch, ein Problem mit der Systemzeit unserer Clients.
Wir haben verschiedene win2003 domaincontroller und viele xp-clients.

Unsere User sind Hauptbenutzer. (Dies muss auf Grund von unserer Rechtestruktur in verscheidenster Software so sein)

Problem ist das die User als Hauptbenutzer die Systemzeit verändern können.
Dies soll über eine Gruppenrichtlinie verboten werden.

Ich habe die anderen Beiträge hier und über google gelesen, jedoch bringt mich das nicht weiter.
unter der "Computer\Windows Einstellungen\Lokale RichtlinienZuweisen von Benutzerrechten\Ändern der Systemzeit" kann ich keine Rechte beschneiden!
Ich kann dort nur anderen Gruppen Rechte erteilen.

Gibt es eine Möglichkeit über die gpo das Ändern der Systemzeit zu verbieten?

Schon mal vorab vielen Dank für eure Posts.

Gruß Teiomi

Content-Key: 110617

Url: https://administrator.de/contentid/110617

Ausgedruckt am: 29.03.2024 um 00:03 Uhr

Mitglied: 60730
60730 05.03.2009 um 13:17:17 Uhr
Goto Top
Servus und willkommen im Club,

ich setze mal an dem Punkt an, der wirklich "stört" und nicht nur ein klitzekleines Symtom deines Problems ist:

Unsere User sind Hauptbenutzer. (Dies muss auf Grund von unserer Rechtestruktur in verscheidenster Software so sein)

Hier sind genügend gute Admins dabei, die dir helfen können - daß genau diese Zeile "Geschichte" sein kann.

Dazu mußt du nur (am besten in einem anderen Beitrag) deine Software aufzählen, für die "angeblich" Admin / Hauptbenutzerrechte notwendig sind.

Seit XP ist das mit den zuvielen Rechten nun wirklich nicht mehr nötig face-wink

Gruß
Mitglied: Hubert.N
Hubert.N 05.03.2009 um 13:39:04 Uhr
Goto Top
Was ich nicht so ganz daran verstehe ist, weshalb du in deinem konkreten Fall nicht die Hauptbenutzer an der genannten Stelle einfach entfernen kannst ?!
oder wieso du nicht eine neue Richtlinie definieren kannst ind er Adminsitratoren das Recht haben ???

Tatsächlich soltest du dir aber wirklich überlegen, wozu die User diese erweiterten Rechte benötigen. Da liegt kein Segen drin...
Mitglied: teiomi
teiomi 05.03.2009 um 14:16:55 Uhr
Goto Top
Hallo,

vorab danke für die Antworten.
Ich stimme euch komplett zu! Es ist definitiv der richtige Weg die struktur der Rechte zu überarbeiten und rechte zu "vergeben" anstatt alle zu erteilen und dann zu beschneiden.

Das Problem an dieser Geschichte sind die Kosten für die Firma.
Es wäre ein imenser Zeitaufwand diese Rechtestruktur umzustellen. Wir haben sehr viel Individiualsoftware im einsatz. Teilweise sind diese Tools aus den 90'gern.

wir sind in dem Team (dem ich angehöre) immer daran Sachen zu verändern und verbessern.

ABER: wir haben mit den Hauptbenutzern absolut keine Probleme. Eine Umstellung der Rechtestruktur ist nicht nur gefährlich sondern imens zeit und kostenaufwändig. Das Problem ist, dass wir genau jetzt einen Fall haben, wo ein Anwender auf die Idee kam Historieneinträge zu fälschen indem er die Systemzeit manipulierte.

Privat bei mir zuhause mache ich es bestimmt nicht auf diese weise, jedoch in nem Unternehmen mit ein paar hundert Clients ist das so ne sache.

Wir steuern dagegen an diese Struktur beizubehalten und stellen eins nach dem anderen um.

Für die Historienfälschung muss allerdings vorab eine schnelle Lösung gefunden werden. Diese ist meines erachtens die "beste" in dem man den Clients über Gpo die Änderung verbietet. Leider bekomme ich das für die Hauptbenutzer nicht hin und finde auch nichts im internet wie ich das machen könnte.

Es gibt doch bestimmt einen Regkey der genau das bewirkt. Diesen könnte man ja z.B. in eine Adm packen und als gpo veröffentlichen.

Könnt ihr mir da helfen?

Gruß Teiomi
Mitglied: teiomi
teiomi 10.03.2009 um 11:24:53 Uhr
Goto Top
Hallo Helfende,

hat hier jemand noch eine Idee?
Leider stecke ich fest und komme nicht weiter.

Gruß Teiomi
Mitglied: 60730
60730 10.03.2009 um 15:43:16 Uhr
Goto Top
Servus,

ok - aber dann nur - wenn du aus den Haputbenutzern in deiner Überschrift "Hautbenutzern" machst face-wink
Auch spätere "suchende" sollen dann was davon haben ;.-)
..und da ich "bekanntlich" weder bis 3 zählen kann - aber dennoch kleinlich bin face-wink

du brauchst zwei Dateien:

Time.inf
[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"  
Revision=1
[Privilege Rights]
sesystemtimeprivilege = Administratoren
... die sollte "irgendwo" zentral liegen - bei mir in c:\script\time - siehe den Pfad hinter /db...... in der "runme.cmd"
runme.cmd
secedit /configure /db C:\script\time /cfg time.inf /overwrite

die runme.cmd führst du aus - und testet dann gegen, ob es klappt.

  • denn wie HubertN schon schrieb - eigentlich kannst du auch Gruppen/ Benutzer herausnehmen.
Wenn es trotz dieser Anleitung und Schritte nicht klappt - dann mußt du leider nach der Nadel im Heuhaufen suchen - denn bei mir funktioniert obiges.

Gruß
Mitglied: teiomi
teiomi 11.03.2009 um 07:54:16 Uhr
Goto Top
Zitat von @60730:
Servus,

ok - aber dann nur - wenn du aus den
Haputbenutzern in deiner Überschrift
"Hautbenutzern" machst face-wink

Ob die Leute Hautbenutzer sind, steht ausser Frage, aber ^^ *kleiner scherz.

btw: danke für deine Hilfe. ich werde das heute mal versuchen und schreiben ob es geklappt hat.

Ps.: Was meint ihr mit "eigentlich kannst du auch Gruppen/ Benutzer herausnehmen"?
in der gpo unter: Lokale RichtlinienZuweisen von Benutzerrechten\Ändern der Systemzeit" die Hauptbenutzer rausnehmen? geht das denn? ich kann dort doch nur User zuweisen die das Recht bekommen sollen. Und nicht die Hauptbenutzer oder Admins entfernen?!

Gruß Teiomi
Mitglied: teiomi
teiomi 11.03.2009 um 11:35:44 Uhr
Goto Top
so, habe das den Morgen versucht.

1.) Er mag keine unc-Pfade. wollte die Scriptfiles gerne ins dfs legen. Jetzt liegen sie dann halt unter c:\Batch\

2.) Er bringt mir eine Meldung die ich mitt Ja oder Nein beantworten muss. geht das Silent?
Die Konfiguration des aktuellen Systems mit dieser Vorlage im /Overwrite-Modus wird zum Verlust der Sicherheitseinträge in der darangegebenen Datenbank führen, einschl. der Konfigurationseinträge. Möchten Sie diesen Vorgang fortsetzen? [J/N]

3.) hat nicht gefruchtet. Erbringt mit bei ner eingebauten "Pause" folgende Meldung:
Der Auftrag wurde mit einem Fehler abgeschlossen. Detaillierte Informationen befinden sich in der Protokolldatei %windir%\security\logs\scesrv.log.
in dem Ordner Logs gibt es die Logdatei leider nicht. alle Systemdateien und versteckten Dateien werden angezeigt.

Hast du eine Idee?

User ist Hauptbenutzer, das habe ich geprüft. Muss man das vllt als Admin ausführen? Kann der Hauptbenutzer, weil er eben Hauptbenutzer ist, dass Script vllt nicht ausführen?

Ich teste das mal. to be continued.

Gruß Teiomi
Mitglied: teiomi
teiomi 11.03.2009 um 11:54:12 Uhr
Goto Top
Das kommt in der scesrv.log, wenn ich die cmd als admin ausführe.

Mittwoch, 11. März 2009 11:44:28
Warnung 5: Zugriff verweigert
Die vorhandene interne Datenbank kann nicht gelöscht werden.
Fehler 80: Die Datei ist vorhanden.
Fehler beim Erstellen von database.
Konfigurationsmodul wurde mit einem oder mehreren Fehlern initialisiert.----
Konfigurationsmodul wird deinitialisiert...

gruß Teiomi
Mitglied: 60730
60730 11.03.2009 um 13:50:49 Uhr
Goto Top
Servus,

User ist Hauptbenutzer, das habe ich geprüft. Muss man das vllt als Admin ausführen?
Yupp - Admin - sollte schon sein.

geht das Silent?
Gib mal secedit unter ausführen ein - da findest du alle Schalter - du "suchst" /quiet

Warnung 5: Zugriff verweigert
Die vorhandene interne Datenbank kann nicht gelöscht werden.

Also hast du irgendwo etwas, das dich daran hindert - siehe auch:
ich kann dort doch nur User zuweisen die das Recht bekommen sollen.
Und nicht die Hauptbenutzer oder Admins entfernen?!

Denn das geht "normalerweise" problemlos.
Nimm noch mal einen anderen Client und melde dich da als Domainadmin an.

Gruß