aes0p.
Goto Top

Adminkonten auf W2K3-Server verlieren Rechte

Nach Installation von Updates oder Software und anschließendem Neustart
verlieren sowohl der lokale Admin, als auch der Domänenadmin Rechte auf einem Applikationsserver
auf Basis von Windows Server 2003

Hallo liebe Administratoren,

in der Hoffnung jemand kann mir hier weiterhelfen schreibe ich diese Zeilen. Ich stehe vor folgendem Problem:
1. Ich habe eine alte Windows Server 2003-AD-Infrastruktur übernommen und bin dabei mich auf diesem Gebiet einzuarbeiten.

2. Das eigentliche Problem mit kleiner Beschreibung der Umgebung:

2 Domänencontroller mit AD auf Basis von W2K3 SP2
u. a. 2 Applikationsserver mit Citrix Presentation Server, ebenfalls W2K3 SP2 (User melden sich über Citrix-Software an den Applikationsservern an).

Auf den Applikationsservern existiert ein lokales Adminkonto, im AD in der Domäne ebenfalls. Seit kurzem stehe ich vor dem Problem,
dass nach der Installation von Windows-Updates, oder schlicht Update des Flash-Players auf einem der Applikationsserver nach einem Neustart
des Servers sämtliche Rechte des lokalen und des Domänenadmins weg sind (egal ob ich als lokaler oder als Domänenadmin gearbeitet habe). Es fehlt z. B. der Eintrag der Systemsteuerung im Startmenü. Wenn ich
über Ausführen - "control" starte, erhalte ich zwar das Fenster der Systemsteuerung, jedoch keine Elemente! Auf einem der Applikationsserver existiert auf dem Desktop noch eine Verknüpfung zum Systemsteuerungselement "Software", wenn ich dieses ausführe, erhalte ich die Meldung, über unzureichende Rechte - ich soll mich an den Systemadministrator wenden. Lösung war beim letzten mal ein Backup- ich möchte diesmal den Fehler sauber beheben. Kann mir evtl. jemand einen Tipp geben wo ich hier ansetzen muss um das Problem in den Griff zu bekommen? Wenn noch weitere Infos nötig sind, bitte lasst es mich wissen.

Content-Key: 177705

Url: https://administrator.de/contentid/177705

Ausgedruckt am: 28.03.2024 um 21:03 Uhr

Mitglied: Hubert.N
Hubert.N 14.12.2011 um 19:30:16 Uhr
Goto Top
Moin

Da es sich bei den Servern um Terminalserver handelt, gehe ich davon aus, dass für die Server eine Terminalserver Gruppenrichtlinie aktiv ist und die Übernahme für den Admin nicht verhindert wird.

Checke also mal die Einstelllungen in der Gruppenrichlinienverwaltungskonsole

Gruß

Hubert
Mitglied: aes0p.
aes0p. 15.12.2011 um 09:10:53 Uhr
Goto Top
Hallo Hubert,
ich habe eine Terminalserverrichtlinie gefunden. Dort sind die Domänen-Administratoren unter Sicherheitsfilterung nicht aufgeführt - die GPO wird also für Admins nicht angewandt.

Ich habe mal mein Domänenadminprofil serverseitig gelöscht (die Profile werden über Samba zur Verfügung gestellt). Bei der nächsten Anmeldung an einem der Applikationsserver wird ja das Profil neu angelegt.
Jetzt kann ich plötzlich wieder auf die Systemsteuerung zugreifen - über das Startmenü. Leider erhalte ich noch immer die Meldung beim Versuch Software zu deinstallieren: "Es bestehen Einschränkungen für die Installation bzw. Deinstallation von Software. Wenden Sie sich an den Systemadministrator."

...
Mitglied: Hubert.N
Hubert.N 15.12.2011 um 11:51:31 Uhr
Goto Top
Hallo ???

Wer ist denn dort aufgeführt ? Per default wird die Richtlinie auf "Authentifizierte Benutzer" angewendet - da ist auch der Admin mit von der Partie.

Die Übernahme der Richtlinie muss eingestellt sein auf die Terminalserverbenutzer und die Terminalserver selbst.

Gruß

Hubert
Mitglied: aes0p.
aes0p. 15.12.2011 um 12:17:34 Uhr
Goto Top
Dort sind nur die Terminalservernutzer aufgeführt. Diese sind im AD in drei Gruppen unterteilt, die Admins sind dort definitiv nicht drin! Mein vorgänger hat die Terminalserver dort nicht drin, stattdessen wendet er einen WMI-Filter an, der die Terminalserver selektiert auf denen die Richtlinie Angewendet werden soll - kann hier leider keine Screenshots posten. Mehr Details kann ich via Mail zusenden wenn gewünscht.
Ich bin einen kleinen Schritt weitergekommen: unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall sind ALLE Einträge (z. B. "NoAddRemovePrograms") auf "1" - also aktiv gesetz!!! Ich habe alles auf "0" gestellt und plopp, jetzt komme ich ans appwiz.cpl über die Systemsteuerung ohne die genannte Meldung ... ???! Mann das ist so verkorkst und ich bin noch ein Anfänger ... Hilfe face-sad
Mitglied: Hubert.N
Hubert.N 15.12.2011 um 18:06:33 Uhr
Goto Top
Vielleicht hat da auch jemand manuell auf den Servern irgendwelche Einstellungen getätigt. Solls ja auch schon gegeben haben. Das istd ann natürlich ohne Dokunentation kaum noch nachvollziehbar...

Erstelle doch mal in der Gruppenrichtlinienkonsole einen Ergebnissatz für den Admin und schaue, was da so bei rauskommt.

Was das mit dem WMI-Filter soll, kann ich irgendwie nicht nachvollziehen. Da scheint dein Vorgänger sein eigenes Süppchen gekocht zu haben. Normalerweise erstellt man für die TS eine eigene OU, erstellt dort eine Richtlnie und aktiviert in dieser im Computerteil die Loopbackverarbeitung damiot die im benutzerteil festgelegten Einstellungen übernommen werden. Unter Sicherheitsfilterung fügt man die Server und die Terminaluser hinzu. Das ist der normale Weg einen TS abzusichern.

Du kannst aber auch einfach mal temporär die Richtlinie deaktivieren und scheuen, was dabei raus kommt. So weißt du wenigstens, ob dein problem an der Richtlinie hängt

Gruß
Mitglied: aes0p.
aes0p. 16.12.2011 um 11:58:05 Uhr
Goto Top
Werde ich beides mal machen. Ich danke dir für die Hilfe. Ich melde mich sobald ich etwas herausgefunden habe.