meierjo
Goto Top

Win7 lokale Admin-Rechte über GPO

Hallo

SBS 2011 Domäne, Win7 (64Bit) Clients. Auf dem DC wurde eine Gruppe "Domäne\Install-Recht" erfasst, in welcher Benutzer kurzzeitig hineingestellt werden können (zB um eine Software-Installation zu ermöglichen).
Die Gruppe "Domäne\Install-Recht" ist lokal der Gruppe Administratoren hinzugefügt

Dies hat die letzten Jahre gut funktioniert.

Nun funktioniert das bei einer einzelnen Workstation nicht mehr, bei 7 anderen immer noch tadellos.
Mir ist nicht bewusst, was da geändert wurde.

- Zugriffsrechte und Vererbungen verglichen
- Rechner aus Domäne entfernt, und wieder neu in Domäne aufgenommen
- Rechner in andere OU verschoben und wieder zurück (dazwischen mehrmals gpupdate /force und reboot des PC's)
- Gruppe "Domäne\Install-Recht" lokal aus der Admin-Gruppe entfernt und wieder hinzugefügt (ebenfalls gpupdate und reboot)

Leider soweit alles erfolglos.

Noch jemand eine Idee, wo man suchen könnte, bevor ich die ganze Workstation neu aufsetze??

Gruss Meierjo

Content-Key: 208963

Url: https://administrator.de/contentid/208963

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: manuel1985
manuel1985 02.07.2013 um 11:26:51 Uhr
Goto Top
Evtl andere GPOs, die das Recht aufheben?
Mitglied: Meierjo
Meierjo 02.07.2013 um 11:29:42 Uhr
Goto Top
Hallo Manuel 1985

Danke für die fixe Antwort.

Kann ich mir nicht vorstellen, sonst würde es bei den anderen Workstations ja auch nicht funktionieren, oder??
Sind alle in derselben OU.

Gruss meierjo
Mitglied: Ausserwoeger
Ausserwoeger 02.07.2013 um 11:34:36 Uhr
Goto Top
Hi

Was steht den im Eventlog der Maschine ? wurde die GPO übernommen ???

Lg Andy
Mitglied: Dirmhirn
Dirmhirn 02.07.2013 um 12:33:13 Uhr
Goto Top
Hi!

d.h. der User ist in der Gruppe, hat aber keine Admin-Rechte?
funktioniert's wenn du den User selbst in die Admin-Gruppe nimmst?
kannst du dich lokal als Admin anmelden?

bzgl GPOs ist gpresult auch ganz praktisch.

sg Dirm
Mitglied: Meierjo
Meierjo 02.07.2013 um 13:37:00 Uhr
Goto Top
Zitat von @Ausserwoeger:
Hi

Was steht den im Eventlog der Maschine ? wurde die GPO übernommen ???

Lg Andy

Hi Andy
Beim anwenden von gpupdate /force wird korrekt protokolliert:

Anwendungsprotokoll:
SceCli 1704 Die Sicherheitsrichtlinie in den Gruppenrichtlinienobjekten wurde erfolgreich angewendet.

Systemprotokoll
GroupPolicy 1503
Die Gruppenrichtlinieneinstellungen für den Benutzer wurden erfolgreich verarbeitet. Es wurden neue 3-Gruppenrichtlinienobjekte erkannt und angewendet.
GroupPolicy 1502
Die Gruppenrichtlinieneinstellungen für den Computer wurden erfolgreich verarbeitet. Es wurden neue 4-Gruppenrichtlinienobjekte erkannt und angewendet.

Es scheint also, als würde die GPO übernommen.

Was mich allerdings an dieser Stelle wundert, dass er jedesmal neue Gruppenrichtlinienobjekte findet und anwendet (ist mir erst jetzt aufgefallen)
Könnte das auf einen Fehler hindeuten??

Gruss meierjo
Mitglied: Meierjo
Meierjo 02.07.2013 um 13:39:32 Uhr
Goto Top
Zitat von @Dirmhirn:
Hi!

d.h. der User ist in der Gruppe, hat aber keine Admin-Rechte?
funktioniert's wenn du den User selbst in die Admin-Gruppe nimmst?
kannst du dich lokal als Admin anmelden?

bzgl GPOs ist gpresult auch ganz praktisch.

sg Dirm

Hi Dirm

Auch wenn ich den User selbst in die Admin-Gruppe nehme, dasselbe Ergebnis.
GPresult kenne ich, dort wird mir angezeigt, welche Gruppenrichtlinien angewandt werden. Diese habe ich mit einer funktionierenden Workstation verglichen --< Identisch

Gruss meierjo
Mitglied: Dirmhirn
Dirmhirn 02.07.2013 um 13:51:30 Uhr
Goto Top
Hi!

kannst du die GPOs verwalten oder ist da jemand anders zuständig?
stimmen die mit gpresult überein?

mit gpupdate /force, werden ja immer alle neu angewendet, afaik.

Auch wenn ich den User selbst in die Admin-Gruppe nehme, dasselbe Ergebnis.
d.h. er hat keine Admin rechte auf der lokalen Maschine?

Der lokale Admin Account funktioniert noch? kannst du neue Lokale Admins hinzufügen? Was wurde in letzter Zeit auf dem Gerät gemacht, wer wurde zuletzt als Admin eingetragen?

hast du alle GPOs durchgeschaut oder gpresult per Skript verglichen?
da wär wir doch eine Admin-Recht-Klau GPO aufgefallen?!

sg Dirm
Mitglied: Meierjo
Meierjo 02.07.2013 aktualisiert um 14:47:47 Uhr
Goto Top
Hallo Dirm

Die GPO's verwalte ich selbst. Ist nur eine kleine Domäne mit ~ 10 PC's.
Wenn ich die Ergebnisse von gpresult vergleiche, stimmen die überein.

Kann doch nicht sein, dass da eine "Admin-Recht-Klau-GPO" da ist, sonst wäre das ja bei den anderen Usern / PC's, bei denen die selben Grurili's angewendet werden, auch so.

Der lokale Admin Account funktioniert.
Wenn ich einen neuen Benutzer hinzufüge, und diesen der Gruppe Administratoren (lokal) hinzufüge, hat er auch keine Admin-Rechte,
zB keine Schreibrechte auf Root (Laufwerk c: ).

Gruss meierjo
Mitglied: Ausserwoeger
Ausserwoeger 03.07.2013 um 14:48:20 Uhr
Goto Top
Hi

Da bei der übernahme der Gpos auch die Lokalen Sicherheitsrichtlinen übernommen werden würde ich mir die Lokalen Sicherheitsrichtlinien anschauen einfach gpedit.msc ausführen und die Richtlinie durchschauen.

Unter Windows einstellungen, Sicherheitseinstellungen, Lokale Richtlinien
findest du den punkt Zuweisen von benutzerrechten

Möglicherweise ist hier etwas verstellt.
Falls du hier selbst nichts eingestellt hast kannst du diese Richtlinien auch wiederherstellen um wieder den Standard zu haben.

http://support.microsoft.com/kb/313222/de

LG Andy
Mitglied: Meierjo
Meierjo 03.07.2013 um 15:19:02 Uhr
Goto Top
Hallo Andy

Sehr guter Hinweis, danke. Auf die Idee wär eich nie gekommen.

Habe mal Zuweisen von Benutzerrechten auf 2 verschiedenen PC's verglichen, da sind einige Unterschiede. Werde mir die Unterschiede mal genau anschauen, und veruchen, beide PC's auf den selben stand zu bringen.

ZB unter "lokal anmelden verweigern" ist ein Benutzer mit *S-1-5-21-1195156701-2440043727-4241708903-1006 eintragen. Ist das eine unbekannte (alte) Benutzer-ID?? Kann die entfernt / gelöscht werden??

Gruss meierjo
Mitglied: Ausserwoeger
Ausserwoeger 03.07.2013 um 16:09:00 Uhr
Goto Top
Zitat von @Meierjo:
ZB unter "lokal anmelden verweigern" ist ein Benutzer mit *S-1-5-21-1195156701-2440043727-4241708903-1006 eintragen. Ist
das eine unbekannte (alte) Benutzer-ID?? Kann die entfernt / gelöscht werden??


Hi

Das ist eine SID eines Benutzers der im AD nicht mehr vorhanden ist. Da es den benutzer bereits nicht mehr gibt wirst du diesen entfernen können.

LG Andy
Mitglied: Meierjo
Meierjo 04.07.2013 aktualisiert um 13:45:21 Uhr
Goto Top
Hallo Andy

Habe die lokalen Sicherheitsrichtlinien mit einem "funktionierenden PC" abgeglichen --> kein Erfolg
Rechner nochmals aus der Domäne genommen, und neu aufgenommen --> gpupdate --> mehrmaliges Rebooten --> keine Besserung

Dann mittels secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb die Sicherheitseinstellungen lokal zurückgestzt --> hat einige Fehlermeldungen ausgeworfen

*

Warnung 5: Zugriff verweigert Fehler beim Einstellen der Sicherheit auf machine\software\classes.
Warnung 5: Zugriff verweigert Fehler beim Einstellen der Sicherheit auf machine\software\microsoft\windows.
Warnung 5: Zugriff verweigert Fehler beim Einstellen der Sicherheit auf machine\software\microsoft\windows\currentversion.

Konfiguration der Registrierungsschlüssel wurde erfolgreich abgeschlossen.

Dateisicherheit wird konfiguriert...
Konfigurieren von c:\program files\common files\speechengines\microsoft\tts.
Warnung 2: Das System kann die angegebene Datei nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\program files\common files\speechengines\microsoft\tts.
Konfigurieren von c:\programdata\microsoft\windows\drm.
Konfigurieren von c:\programdata\microsoft\windows\drm\cache.
Konfigurieren von c:\windows\repair\default.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\default.
Konfigurieren von c:\windows\repair\ntuser.dat.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\ntuser.dat.
Konfigurieren von c:\windows\repair\sam.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\sam.
Konfigurieren von c:\windows\repair\security.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\security.
Konfigurieren von c:\windows\repair\software.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\software.
Konfigurieren von c:\windows\repair\system.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\system.
Konfigurieren von c:\windows\system32\windows media.
Warnung 2: Das System kann die angegebene Datei nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\system32\windows media.
Konfigurieren von c:\windows\syswow64\export.
Warnung 2: Das System kann die angegebene Datei nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\syswow64\export.
Konfigurieren von c:\windows\syswow64\ias.
Warnung 2: Das System kann die angegebene Datei nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\syswow64\ias.

Konfiguration der Dateisicherheit wurde erfolgreich abgeschlossen.



ebenfalls keine Besserung.


Noch eine Idee (ausser Format C: face-smile face-smile ??

Gruss meierjo
Mitglied: Meierjo
Meierjo 08.07.2013 um 07:25:09 Uhr
Goto Top
Hallo

Nachdem leider keine Vorschläg mehr gekommen sind, habe ich das Problem gelöst, indem ich den PC neu aufgesetzt habe.

Danke für eure Mithilfe und Vorschläge

Gruss meierjo
Mitglied: Ausserwoeger
Ausserwoeger 08.07.2013 um 07:59:36 Uhr
Goto Top
Hi

Leider hatte ich keine zeit mehr zu schreiben. Allerdings war format C die schnellste lösung denke ich.

LG Andy