Administrator hat kein Zugriff auf lokale Sicherheitsrichtlinie
Wenn ich mich unter Windows XP als lokalen Administrator einlogge, hat dieser nach dem Login keinen Zugriff mehr, auf eine selbst erstellte MMC zur Verwaltung der lokalen Sicherheitsrichtlinien. Vor dem Login des Administrators konnten andere Benutzer über "Ausführen als..." die MMC als Administrator ausführen, nach einmaligem Login nicht mehr.
Hallo Zusammen,
ich habe ein Problem mit dem Zugriff auf eine MMC, die auf 90% der Workstations in der Firma eingerichtet ist.
Durch relativ kuriose Umstände und eines Todesfalls, wurde bei der Umstellung auf Server 2003 in der Firma keine Active Directory eingerichtet. Dadurch konnten unsere Workstations (Windows XP SP2) nicht durch Policies beschnitten werden, sondern wurden lokal abgeriegelt.
Dafür hat mein Kollege, zusammen mit meinem Vorgänger, eine MMC auf jedem PC eingerichtet und alle relevanten Funktionen gesperrt. Die besagte MMC ist nur mit Administrator Rechten ausführbar.
Der Zugriff auf die MMC funktioniert tadellos von jedem Benutzerkonto aus, aber sobald sich der lokale Administrator einmal einloggt kann die MMC nicht mehr geöffnet werden.
Man erhält ständig nur die drei alt bekannten Meldungen:
"Das unten aufgeführte, in diesem Dokument verwiesene Snap-In wurde durch Richtlinien eingeschränkt. Weitere Informationen erhalten Sie von Ihrem Administrator. Ordner."
"Das unten aufgeführte, in diesem Dokument verwiesene Snap-In wurde durch Richtlinien eingeschränkt. Weitere Informationen erhalten Sie von Ihrem Administrator. Gruppenrichtlinie."
"Die aktuellen Richtlinien verhindern, dass Microsoft Management Console im Autorenmodus geöffnet wird. Weitere Informationen erhalten Sie von Ihrem Administrator."
Auch wenn ich mir über Umwege Zugang zur CMD verschaffe oder direkt ins System32 Verzeichnis gehe, kann ich mir keinen Zugriff auf eine MMC verschaffen - egal von welchem Account (auch andere Administratoren erhalten keinen Zugriff). An sich wäre das nicht so schlimm, da der Rechner ja noch läuft und meistens nur Administrative Funktionen gesperrt sind. Falls diese benötigt werden, muss zwangsweise das Windows neu gemacht werden, aber wir haben hier ~300 Workstations zu betreuen, davon sind mind. 250 von diesem Problem betroffen und die IT besteht nur aus 2 Personen.
Das einzige was mir noch einfällt ist die entsprechende Funktion per, mittlerweile vorhandener, Active Directory frei zu geben.
Hat jemand noch eine Idee oder einen Konstruktiven Vorschlag zur Lösung des Problems?
Schon mal Danke für eure Hilfe.
Gruß
ich habe ein Problem mit dem Zugriff auf eine MMC, die auf 90% der Workstations in der Firma eingerichtet ist.
Durch relativ kuriose Umstände und eines Todesfalls, wurde bei der Umstellung auf Server 2003 in der Firma keine Active Directory eingerichtet. Dadurch konnten unsere Workstations (Windows XP SP2) nicht durch Policies beschnitten werden, sondern wurden lokal abgeriegelt.
Dafür hat mein Kollege, zusammen mit meinem Vorgänger, eine MMC auf jedem PC eingerichtet und alle relevanten Funktionen gesperrt. Die besagte MMC ist nur mit Administrator Rechten ausführbar.
Der Zugriff auf die MMC funktioniert tadellos von jedem Benutzerkonto aus, aber sobald sich der lokale Administrator einmal einloggt kann die MMC nicht mehr geöffnet werden.
Man erhält ständig nur die drei alt bekannten Meldungen:
"Das unten aufgeführte, in diesem Dokument verwiesene Snap-In wurde durch Richtlinien eingeschränkt. Weitere Informationen erhalten Sie von Ihrem Administrator. Ordner."
"Das unten aufgeführte, in diesem Dokument verwiesene Snap-In wurde durch Richtlinien eingeschränkt. Weitere Informationen erhalten Sie von Ihrem Administrator. Gruppenrichtlinie."
"Die aktuellen Richtlinien verhindern, dass Microsoft Management Console im Autorenmodus geöffnet wird. Weitere Informationen erhalten Sie von Ihrem Administrator."
Auch wenn ich mir über Umwege Zugang zur CMD verschaffe oder direkt ins System32 Verzeichnis gehe, kann ich mir keinen Zugriff auf eine MMC verschaffen - egal von welchem Account (auch andere Administratoren erhalten keinen Zugriff). An sich wäre das nicht so schlimm, da der Rechner ja noch läuft und meistens nur Administrative Funktionen gesperrt sind. Falls diese benötigt werden, muss zwangsweise das Windows neu gemacht werden, aber wir haben hier ~300 Workstations zu betreuen, davon sind mind. 250 von diesem Problem betroffen und die IT besteht nur aus 2 Personen.
Das einzige was mir noch einfällt ist die entsprechende Funktion per, mittlerweile vorhandener, Active Directory frei zu geben.
Hat jemand noch eine Idee oder einen Konstruktiven Vorschlag zur Lösung des Problems?
Schon mal Danke für eure Hilfe.
Gruß
Please also mark the comments that contributed to the solution of the article
Content-Key: 153368
Url: https://administrator.de/contentid/153368
Printed on: April 24, 2024 at 19:04 o'clock
4 Comments
Latest comment
Naja, die Frage ist macht es nicht mehr sinn,
bei einer solchen Problematik direkt komplett auf AD um zu steigen?
Klar, es ist erst einmal ein Heiden aufwand,
aber wenn alles mal so weit geschaffen ist,
dann macht es dir die ganze Verwaltung wesentlich einfacher....
Leg dir eine Ordnerstrucktur an, mit entsprechenden Berechtigungen,
dann alles auf dem Server Speichern lassen und alle Rechner in die Domäne
rein Holen, mit entsprechenden Berechtigungen und einschränkungen.
Dann wäre deine IT auch vernünftig aufgebaut.
bei einer solchen Problematik direkt komplett auf AD um zu steigen?
Klar, es ist erst einmal ein Heiden aufwand,
aber wenn alles mal so weit geschaffen ist,
dann macht es dir die ganze Verwaltung wesentlich einfacher....
Leg dir eine Ordnerstrucktur an, mit entsprechenden Berechtigungen,
dann alles auf dem Server Speichern lassen und alle Rechner in die Domäne
rein Holen, mit entsprechenden Berechtigungen und einschränkungen.
Dann wäre deine IT auch vernünftig aufgebaut.
Moin Moin
Vergesst die Lokalen Richtlinien. Wenn Ihr Einstellungen vornehmen wollt macht das mit GPOs über das AD. Diese haben immer Vorrang vor den lokalen Richtlinien.
Es klingt fast so als hättet Ihr die MMC bzw deren Autoren Modus in der Lokalen Richtlinie für alle Benutzer der jeweiligen Maschine gesperrt.
Schon mal versucht die MMC als DomAdmin zu starten.
Falls das auch nicht klappt (was ich vermute) könnt ihr für die DomAdmins eine GPO erstellen in der die Einstellungen
"Autorenmodus für Benutzer nicht zulassen" und "Benutzer auf die Verwendung von zugelassenen Snap-Ins beschränken" auf deaktiviert gesetzt werden.
Die Einstellungen sind zu finden unter: Benutzerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Microsoft Management Console /
Plan B (hab ich nicht ausprobiert) ist für den lokalen Admin diesen Regschlüssel HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC zu löschen.
Gruß L.
Vergesst die Lokalen Richtlinien. Wenn Ihr Einstellungen vornehmen wollt macht das mit GPOs über das AD. Diese haben immer Vorrang vor den lokalen Richtlinien.
Es klingt fast so als hättet Ihr die MMC bzw deren Autoren Modus in der Lokalen Richtlinie für alle Benutzer der jeweiligen Maschine gesperrt.
Schon mal versucht die MMC als DomAdmin zu starten.
Falls das auch nicht klappt (was ich vermute) könnt ihr für die DomAdmins eine GPO erstellen in der die Einstellungen
"Autorenmodus für Benutzer nicht zulassen" und "Benutzer auf die Verwendung von zugelassenen Snap-Ins beschränken" auf deaktiviert gesetzt werden.
Die Einstellungen sind zu finden unter: Benutzerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Microsoft Management Console /
Plan B (hab ich nicht ausprobiert) ist für den lokalen Admin diesen Regschlüssel HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC zu löschen.
Gruß L.