Zugriff verweigert - Administratoraccount von Änderungen in gpedit.msc ausgeschlossen?
Moin!
Problemkurzfassung:
Administrator kann via gpedit.msc auf WinXP Professional-Plattform keinerlei Änderungen der Systemrichtlinien (im speziellen die Zugriffserlaubnis auf Systemsteuerung) vornehmen: Ergebnis ist immer "Zugriff verweigert".
Langfassung:
Die (insgesamt 40+) XP-Prof-Rechner befinden sich in einem domänenbasierten LAN. Domänencontroller ist ein Linux-Server mit aufgesetztem Samba zur File- und Accountverwaltung. Sämtliche Useraccounts werden also über die Domäne an- und abgemeldet, einzige Ausnahme hiervon ist (logischerweise) der jeweils lokal auf den Rechnern vorhandene Administratoraccount.
Da es sich um Arbeitsplatzrechner in einem Schulnetz handelt, wurde mittels der Gruppenrichtlinien der Zugriff auf Systemsteuerung, Taskmanager etcpepe unterbunden. Im speziellen die Richtlinie "Benutzerkonfiguration > Administrative Vorlagen > Systemsteuerung > Zugriff auf die Systemsteuerung nicht zulassen: aktiviert".
So weit, so gut. Da diese Richtlinie sämtliche Benutzer des Rechners einschliesslich des Administratoraccounts (sinnigerweise) betrifft, muss selbst der Admin-Account bei jeder Änderung der Einstellungen die Systemsteuerung nun erst einmal wieder freischalten. Das klappt bei 39 von 40 Rechnern auch ganz hervorragend - nur bei meinem Sorgenkind plötzlich nicht mehr. Dieser Rechner meldet bei versuchten Änderungen an dieser (oder auch testweise geänderter anderer) Richtlinien immer wieder aufs neue "Zugriff verweigert".
Kennt jemand dieses Problem und weis eine Lösung? Die einzige (suboptimale) Lösung, die mir derzeit einfällt lautet /format c:...
Grüße!
Problemkurzfassung:
Administrator kann via gpedit.msc auf WinXP Professional-Plattform keinerlei Änderungen der Systemrichtlinien (im speziellen die Zugriffserlaubnis auf Systemsteuerung) vornehmen: Ergebnis ist immer "Zugriff verweigert".
Langfassung:
Die (insgesamt 40+) XP-Prof-Rechner befinden sich in einem domänenbasierten LAN. Domänencontroller ist ein Linux-Server mit aufgesetztem Samba zur File- und Accountverwaltung. Sämtliche Useraccounts werden also über die Domäne an- und abgemeldet, einzige Ausnahme hiervon ist (logischerweise) der jeweils lokal auf den Rechnern vorhandene Administratoraccount.
Da es sich um Arbeitsplatzrechner in einem Schulnetz handelt, wurde mittels der Gruppenrichtlinien der Zugriff auf Systemsteuerung, Taskmanager etcpepe unterbunden. Im speziellen die Richtlinie "Benutzerkonfiguration > Administrative Vorlagen > Systemsteuerung > Zugriff auf die Systemsteuerung nicht zulassen: aktiviert".
So weit, so gut. Da diese Richtlinie sämtliche Benutzer des Rechners einschliesslich des Administratoraccounts (sinnigerweise) betrifft, muss selbst der Admin-Account bei jeder Änderung der Einstellungen die Systemsteuerung nun erst einmal wieder freischalten. Das klappt bei 39 von 40 Rechnern auch ganz hervorragend - nur bei meinem Sorgenkind plötzlich nicht mehr. Dieser Rechner meldet bei versuchten Änderungen an dieser (oder auch testweise geänderter anderer) Richtlinien immer wieder aufs neue "Zugriff verweigert".
Kennt jemand dieses Problem und weis eine Lösung? Die einzige (suboptimale) Lösung, die mir derzeit einfällt lautet /format c:...
Grüße!
Please also mark the comments that contributed to the solution of the article
Content-Key: 55782
Url: https://administrator.de/contentid/55782
Printed on: April 24, 2024 at 15:04 o'clock
5 Comments
Latest comment
"Benutzerkonfiguration >
Administrative Vorlagen > Systemsteuerung
> Zugriff auf die Systemsteuerung nicht
zulassen" gilt systemweit ab dem
Zeitpunkt der Änderung und muss nicht
extra "angewendet" werden.
Administrative Vorlagen > Systemsteuerung
> Zugriff auf die Systemsteuerung nicht
zulassen" gilt systemweit ab dem
Zeitpunkt der Änderung und muss nicht
extra "angewendet" werden.
Machst Du das ganze via GPO? Wenn ja, macht die Frage sehr viel Sinn.
In der Managementkonsole (gpmc.msc) gibst Du an, ob Du a) die Policy gar nicht , b) nur auf Computer, c) nur auf Benutzer oder d) auf beide anwenden möchtest.
Wenn Du das ganze mit GPO machst, dann fügst Du in der Sicherheitsfilterung die Gruppe Domain User ein und wendest das ganze auf eine z.Bsp. OU an.
Das ganze jedenfalls ohne Linux-DC...
Und wenn Du das ganze auf jedem einzelnen Rechner machen solltest, ist Quatsch (meine Meinung, Sorry). Der Verwaltungsaufwand würde sich expotentiell erhöhen. Ausserdem ist die Möglichkeit Benutzer zu excluden, z.Bsp. den Administrator, schwierig bis unmöglich.
Herzlich Willkommen zurück.
Falls Du eine Active Directory hast, kannst Du auch GPO's einstellen.
Unter dsa.msc gehst Du auf die OU Deiner Wahl, Properties, Group Policy und sagst "Add", konfigurierst das Teil und unter Security wendest Du es Schlussendlich auf z.Bsp. die Domain User an.
Damit wäre dann Dein Problem gelöst.
Die Managementkonsole für Gruppenrichtlinien (gpmc.msc) ist übrigens nicht standardmässig installiert (ist auch nur eine Vereinfachung und die Ansicht ist besser), man muss sie von M$ herunterladen.
Verwendest Du KEINE GPO's hast Du ein Problem...mit gpedit.msc geht es nicht. Mir ist leider auch keine Möglichkeit bekannt so etwas zu machen. In einer Windows-Umgebung gehört das halt dazu...
Trotzdem viel Glück...
Falls Du eine Active Directory hast, kannst Du auch GPO's einstellen.
Unter dsa.msc gehst Du auf die OU Deiner Wahl, Properties, Group Policy und sagst "Add", konfigurierst das Teil und unter Security wendest Du es Schlussendlich auf z.Bsp. die Domain User an.
Damit wäre dann Dein Problem gelöst.
Die Managementkonsole für Gruppenrichtlinien (gpmc.msc) ist übrigens nicht standardmässig installiert (ist auch nur eine Vereinfachung und die Ansicht ist besser), man muss sie von M$ herunterladen.
Verwendest Du KEINE GPO's hast Du ein Problem...mit gpedit.msc geht es nicht. Mir ist leider auch keine Möglichkeit bekannt so etwas zu machen. In einer Windows-Umgebung gehört das halt dazu...
Trotzdem viel Glück...