4
Administrator hat kein Zugriff auf lokale Sicherheitsrichtlinie
Wenn ich mich unter Windows XP als lokalen Administrator einlogge, hat dieser nach dem Login keinen Zugriff mehr, auf eine selbst erstellte MMC zur Verwaltung der lokalen Sicherheitsrichtlinien. Vor dem Login des Administrators konnten andere Benutzer über "Ausführen als..." die MMC als Administrator ausführen, nach einmaligem Login nicht mehr.
Hallo Zusammen,
ich habe ein Problem mit dem Zugriff auf eine MMC, die auf 90% der Workstations in der Firma eingerichtet ist.
Durch relativ kuriose Umstände und eines Todesfalls, wurde bei der Umstellung auf Server 2003 in der Firma keine Active Directory eingerichtet. Dadurch konnten unsere Workstations (Windows XP SP2) nicht durch Policies beschnitten werden, sondern wurden lokal abgeriegelt.
Dafür hat mein Kollege, zusammen mit meinem Vorgänger, eine MMC auf jedem PC eingerichtet und alle relevanten Funktionen gesperrt. Die besagte MMC ist nur mit Administrator Rechten ausführbar.
Der Zugriff auf die MMC funktioniert tadellos von jedem Benutzerkonto aus, aber sobald sich der lokale Administrator einmal einloggt kann die MMC nicht mehr geöffnet werden.
Man erhält ständig nur die drei alt bekannten Meldungen:
"Das unten aufgeführte, in diesem Dokument verwiesene Snap-In wurde durch Richtlinien eingeschränkt. Weitere Informationen erhalten Sie von Ihrem Administrator. Ordner."
"Das unten aufgeführte, in diesem Dokument verwiesene Snap-In wurde durch Richtlinien eingeschränkt. Weitere Informationen erhalten Sie von Ihrem Administrator. Gruppenrichtlinie."
"Die aktuellen Richtlinien verhindern, dass Microsoft Management Console im Autorenmodus geöffnet wird. Weitere Informationen erhalten Sie von Ihrem Administrator."
Auch wenn ich mir über Umwege Zugang zur CMD verschaffe oder direkt ins System32 Verzeichnis gehe, kann ich mir keinen Zugriff auf eine MMC verschaffen - egal von welchem Account (auch andere Administratoren erhalten keinen Zugriff). An sich wäre das nicht so schlimm, da der Rechner ja noch läuft und meistens nur Administrative Funktionen gesperrt sind. Falls diese benötigt werden, muss zwangsweise das Windows neu gemacht werden, aber wir haben hier ~300 Workstations zu betreuen, davon sind mind. 250 von diesem Problem betroffen und die IT besteht nur aus 2 Personen.
Das einzige was mir noch einfällt ist die entsprechende Funktion per, mittlerweile vorhandener, Active Directory frei zu geben.
Hat jemand noch eine Idee oder einen Konstruktiven Vorschlag zur Lösung des Problems?
Schon mal Danke für eure Hilfe.
Gruß
ich habe ein Problem mit dem Zugriff auf eine MMC, die auf 90% der Workstations in der Firma eingerichtet ist.
Durch relativ kuriose Umstände und eines Todesfalls, wurde bei der Umstellung auf Server 2003 in der Firma keine Active Directory eingerichtet. Dadurch konnten unsere Workstations (Windows XP SP2) nicht durch Policies beschnitten werden, sondern wurden lokal abgeriegelt.
Dafür hat mein Kollege, zusammen mit meinem Vorgänger, eine MMC auf jedem PC eingerichtet und alle relevanten Funktionen gesperrt. Die besagte MMC ist nur mit Administrator Rechten ausführbar.
Der Zugriff auf die MMC funktioniert tadellos von jedem Benutzerkonto aus, aber sobald sich der lokale Administrator einmal einloggt kann die MMC nicht mehr geöffnet werden.
Man erhält ständig nur die drei alt bekannten Meldungen:
"Das unten aufgeführte, in diesem Dokument verwiesene Snap-In wurde durch Richtlinien eingeschränkt. Weitere Informationen erhalten Sie von Ihrem Administrator. Ordner."
"Das unten aufgeführte, in diesem Dokument verwiesene Snap-In wurde durch Richtlinien eingeschränkt. Weitere Informationen erhalten Sie von Ihrem Administrator. Gruppenrichtlinie."
"Die aktuellen Richtlinien verhindern, dass Microsoft Management Console im Autorenmodus geöffnet wird. Weitere Informationen erhalten Sie von Ihrem Administrator."
Auch wenn ich mir über Umwege Zugang zur CMD verschaffe oder direkt ins System32 Verzeichnis gehe, kann ich mir keinen Zugriff auf eine MMC verschaffen - egal von welchem Account (auch andere Administratoren erhalten keinen Zugriff). An sich wäre das nicht so schlimm, da der Rechner ja noch läuft und meistens nur Administrative Funktionen gesperrt sind. Falls diese benötigt werden, muss zwangsweise das Windows neu gemacht werden, aber wir haben hier ~300 Workstations zu betreuen, davon sind mind. 250 von diesem Problem betroffen und die IT besteht nur aus 2 Personen.
Das einzige was mir noch einfällt ist die entsprechende Funktion per, mittlerweile vorhandener, Active Directory frei zu geben.
Hat jemand noch eine Idee oder einen Konstruktiven Vorschlag zur Lösung des Problems?
Schon mal Danke für eure Hilfe.
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 153368
Url: https://administrator.de/contentid/153368
Printed on: April 24, 2024 at 19:04 o'clock
4 Comments
Latest comment
Naja, die Frage ist macht es nicht mehr sinn,
bei einer solchen Problematik direkt komplett auf AD um zu steigen?
Klar, es ist erst einmal ein Heiden aufwand,
aber wenn alles mal so weit geschaffen ist,
dann macht es dir die ganze Verwaltung wesentlich einfacher....
Leg dir eine Ordnerstrucktur an, mit entsprechenden Berechtigungen,
dann alles auf dem Server Speichern lassen und alle Rechner in die Domäne
rein Holen, mit entsprechenden Berechtigungen und einschränkungen.
Dann wäre deine IT auch vernünftig aufgebaut.
bei einer solchen Problematik direkt komplett auf AD um zu steigen?
Klar, es ist erst einmal ein Heiden aufwand,
aber wenn alles mal so weit geschaffen ist,
dann macht es dir die ganze Verwaltung wesentlich einfacher....
Leg dir eine Ordnerstrucktur an, mit entsprechenden Berechtigungen,
dann alles auf dem Server Speichern lassen und alle Rechner in die Domäne
rein Holen, mit entsprechenden Berechtigungen und einschränkungen.
Dann wäre deine IT auch vernünftig aufgebaut.
Hallo Grapper,
das ist bereits geschehen. Zur Zeit existiert eine AD auf einem Windows Server 2003, demnächst kommt der Umstieg auf Server 2008 R2 und ab März auch neue Clients. Alle Clients sind Mitglied dieser Domäne.
Dennoch sind die lokal definierten Richtlinien da und stören von Zeit zur Zeit - und in letzter Zeit immer häufiger - den Betrieb. Alle Workstations, die wir durch Mitarbeiterwechsel, Entlassungen/Kündigungen etc. in unsere Hände bekommen, kriegen ein sauberes Image per Acronis, aber alle älteren Maschinen haben halt zusätzlich zu der AD noch die lokalen Richtlinien, die sich partout nicht ändern lassen wollen sobald sich der lokale Administrator einmal eingeloggt hat.
das ist bereits geschehen. Zur Zeit existiert eine AD auf einem Windows Server 2003, demnächst kommt der Umstieg auf Server 2008 R2 und ab März auch neue Clients. Alle Clients sind Mitglied dieser Domäne.
Dennoch sind die lokal definierten Richtlinien da und stören von Zeit zur Zeit - und in letzter Zeit immer häufiger - den Betrieb. Alle Workstations, die wir durch Mitarbeiterwechsel, Entlassungen/Kündigungen etc. in unsere Hände bekommen, kriegen ein sauberes Image per Acronis, aber alle älteren Maschinen haben halt zusätzlich zu der AD noch die lokalen Richtlinien, die sich partout nicht ändern lassen wollen sobald sich der lokale Administrator einmal eingeloggt hat.
Moin Moin
Vergesst die Lokalen Richtlinien. Wenn Ihr Einstellungen vornehmen wollt macht das mit GPOs über das AD. Diese haben immer Vorrang vor den lokalen Richtlinien.
Es klingt fast so als hättet Ihr die MMC bzw deren Autoren Modus in der Lokalen Richtlinie für alle Benutzer der jeweiligen Maschine gesperrt.
Schon mal versucht die MMC als DomAdmin zu starten.
Falls das auch nicht klappt (was ich vermute) könnt ihr für die DomAdmins eine GPO erstellen in der die Einstellungen
"Autorenmodus für Benutzer nicht zulassen" und "Benutzer auf die Verwendung von zugelassenen Snap-Ins beschränken" auf deaktiviert gesetzt werden.
Die Einstellungen sind zu finden unter: Benutzerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Microsoft Management Console /
Plan B (hab ich nicht ausprobiert) ist für den lokalen Admin diesen Regschlüssel HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC zu löschen.
Gruß L.
Vergesst die Lokalen Richtlinien. Wenn Ihr Einstellungen vornehmen wollt macht das mit GPOs über das AD. Diese haben immer Vorrang vor den lokalen Richtlinien.
Es klingt fast so als hättet Ihr die MMC bzw deren Autoren Modus in der Lokalen Richtlinie für alle Benutzer der jeweiligen Maschine gesperrt.
Schon mal versucht die MMC als DomAdmin zu starten.
Falls das auch nicht klappt (was ich vermute) könnt ihr für die DomAdmins eine GPO erstellen in der die Einstellungen
"Autorenmodus für Benutzer nicht zulassen" und "Benutzer auf die Verwendung von zugelassenen Snap-Ins beschränken" auf deaktiviert gesetzt werden.
Die Einstellungen sind zu finden unter: Benutzerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Microsoft Management Console /
Plan B (hab ich nicht ausprobiert) ist für den lokalen Admin diesen Regschlüssel HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC zu löschen.
Gruß L.
Hallo Logan,
die lokalen Richtlinien werden mittlerweile nicht mehr verwendet, alle neuen Einstellungen kriegen die Workstations über die AD.
Das sind nur die historischen Reste von der Vor-AD-Zeit. Wenn wir dort den Zugriff auf alle Funktionen, die mit der lokalen Richtlinie verboten wurden, erlauben würden, würden wir unseren Usern Tür und Tor für Unsinn aller Art öffnen. Deshalb haben wir diesen Weg bisher vermieden.
Das mit den DomAdmin haben wir versucht, leider erfolglos.
Aber dein Plan B hat bestens funktioniert! Nach Löschung des Schlüssel "HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC" beim lokalen Administrator, ist der Zugriff auf die MMC wieder möglich.
Deine Vermutung war richtig, mein Kollege und mein Vorgänger haben die Einstellung "Autorenmodus für Benutzer nicht zulassen" aktiviert. Den Vorschlag mit der GPO werde ich direkt Umsetzen, das erspart uns viel Ärger.
Besten Dank!
die lokalen Richtlinien werden mittlerweile nicht mehr verwendet, alle neuen Einstellungen kriegen die Workstations über die AD.
Das sind nur die historischen Reste von der Vor-AD-Zeit. Wenn wir dort den Zugriff auf alle Funktionen, die mit der lokalen Richtlinie verboten wurden, erlauben würden, würden wir unseren Usern Tür und Tor für Unsinn aller Art öffnen. Deshalb haben wir diesen Weg bisher vermieden.
Das mit den DomAdmin haben wir versucht, leider erfolglos.
Aber dein Plan B hat bestens funktioniert! Nach Löschung des Schlüssel "HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC" beim lokalen Administrator, ist der Zugriff auf die MMC wieder möglich.
Deine Vermutung war richtig, mein Kollege und mein Vorgänger haben die Einstellung "Autorenmodus für Benutzer nicht zulassen" aktiviert. Den Vorschlag mit der GPO werde ich direkt Umsetzen, das erspart uns viel Ärger.
Besten Dank!
