Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Adminkonten auf W2K3-Server verlieren Rechte

Mitglied: aes0p.

aes0p. (Level 1) - Jetzt verbinden

14.12.2011 um 17:37 Uhr, 2925 Aufrufe, 6 Kommentare

Nach Installation von Updates oder Software und anschließendem Neustart
verlieren sowohl der lokale Admin, als auch der Domänenadmin Rechte auf einem Applikationsserver
auf Basis von Windows Server 2003

Hallo liebe Administratoren,

in der Hoffnung jemand kann mir hier weiterhelfen schreibe ich diese Zeilen. Ich stehe vor folgendem Problem:
1. Ich habe eine alte Windows Server 2003-AD-Infrastruktur übernommen und bin dabei mich auf diesem Gebiet einzuarbeiten.

2. Das eigentliche Problem mit kleiner Beschreibung der Umgebung:

2 Domänencontroller mit AD auf Basis von W2K3 SP2
u. a. 2 Applikationsserver mit Citrix Presentation Server, ebenfalls W2K3 SP2 (User melden sich über Citrix-Software an den Applikationsservern an).

Auf den Applikationsservern existiert ein lokales Adminkonto, im AD in der Domäne ebenfalls. Seit kurzem stehe ich vor dem Problem,
dass nach der Installation von Windows-Updates, oder schlicht Update des Flash-Players auf einem der Applikationsserver nach einem Neustart
des Servers sämtliche Rechte des lokalen und des Domänenadmins weg sind (egal ob ich als lokaler oder als Domänenadmin gearbeitet habe). Es fehlt z. B. der Eintrag der Systemsteuerung im Startmenü. Wenn ich
über Ausführen - "control" starte, erhalte ich zwar das Fenster der Systemsteuerung, jedoch keine Elemente! Auf einem der Applikationsserver existiert auf dem Desktop noch eine Verknüpfung zum Systemsteuerungselement "Software", wenn ich dieses ausführe, erhalte ich die Meldung, über unzureichende Rechte - ich soll mich an den Systemadministrator wenden. Lösung war beim letzten mal ein Backup- ich möchte diesmal den Fehler sauber beheben. Kann mir evtl. jemand einen Tipp geben wo ich hier ansetzen muss um das Problem in den Griff zu bekommen? Wenn noch weitere Infos nötig sind, bitte lasst es mich wissen.
Mitglied: Dye.Kehasa
14.12.2011 um 19:30 Uhr
Moin

Da es sich bei den Servern um Terminalserver handelt, gehe ich davon aus, dass für die Server eine Terminalserver Gruppenrichtlinie aktiv ist und die Übernahme für den Admin nicht verhindert wird.

Checke also mal die Einstelllungen in der Gruppenrichlinienverwaltungskonsole

Gruß

Hubert
Bitte warten ..
Mitglied: aes0p.
15.12.2011 um 09:10 Uhr
Hallo Hubert,
ich habe eine Terminalserverrichtlinie gefunden. Dort sind die Domänen-Administratoren unter Sicherheitsfilterung nicht aufgeführt - die GPO wird also für Admins nicht angewandt.

Ich habe mal mein Domänenadminprofil serverseitig gelöscht (die Profile werden über Samba zur Verfügung gestellt). Bei der nächsten Anmeldung an einem der Applikationsserver wird ja das Profil neu angelegt.
Jetzt kann ich plötzlich wieder auf die Systemsteuerung zugreifen - über das Startmenü. Leider erhalte ich noch immer die Meldung beim Versuch Software zu deinstallieren: "Es bestehen Einschränkungen für die Installation bzw. Deinstallation von Software. Wenden Sie sich an den Systemadministrator."

...
Bitte warten ..
Mitglied: Dye.Kehasa
15.12.2011 um 11:51 Uhr
Hallo ???

Wer ist denn dort aufgeführt ? Per default wird die Richtlinie auf "Authentifizierte Benutzer" angewendet - da ist auch der Admin mit von der Partie.

Die Übernahme der Richtlinie muss eingestellt sein auf die Terminalserverbenutzer und die Terminalserver selbst.

Gruß

Hubert
Bitte warten ..
Mitglied: aes0p.
15.12.2011 um 12:17 Uhr
Dort sind nur die Terminalservernutzer aufgeführt. Diese sind im AD in drei Gruppen unterteilt, die Admins sind dort definitiv nicht drin! Mein vorgänger hat die Terminalserver dort nicht drin, stattdessen wendet er einen WMI-Filter an, der die Terminalserver selektiert auf denen die Richtlinie Angewendet werden soll - kann hier leider keine Screenshots posten. Mehr Details kann ich via Mail zusenden wenn gewünscht.
Ich bin einen kleinen Schritt weitergekommen: unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall sind ALLE Einträge (z. B. "NoAddRemovePrograms") auf "1" - also aktiv gesetz!!! Ich habe alles auf "0" gestellt und plopp, jetzt komme ich ans appwiz.cpl über die Systemsteuerung ohne die genannte Meldung ... ???! Mann das ist so verkorkst und ich bin noch ein Anfänger ... Hilfe
Bitte warten ..
Mitglied: Dye.Kehasa
15.12.2011 um 18:06 Uhr
Vielleicht hat da auch jemand manuell auf den Servern irgendwelche Einstellungen getätigt. Solls ja auch schon gegeben haben. Das istd ann natürlich ohne Dokunentation kaum noch nachvollziehbar...

Erstelle doch mal in der Gruppenrichtlinienkonsole einen Ergebnissatz für den Admin und schaue, was da so bei rauskommt.

Was das mit dem WMI-Filter soll, kann ich irgendwie nicht nachvollziehen. Da scheint dein Vorgänger sein eigenes Süppchen gekocht zu haben. Normalerweise erstellt man für die TS eine eigene OU, erstellt dort eine Richtlnie und aktiviert in dieser im Computerteil die Loopbackverarbeitung damiot die im benutzerteil festgelegten Einstellungen übernommen werden. Unter Sicherheitsfilterung fügt man die Server und die Terminaluser hinzu. Das ist der normale Weg einen TS abzusichern.

Du kannst aber auch einfach mal temporär die Richtlinie deaktivieren und scheuen, was dabei raus kommt. So weißt du wenigstens, ob dein problem an der Richtlinie hängt

Gruß
Bitte warten ..
Mitglied: aes0p.
16.12.2011 um 11:58 Uhr
Werde ich beides mal machen. Ich danke dir für die Hilfe. Ich melde mich sobald ich etwas herausgefunden habe.
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Remoteverwaltung lokaler Adminkonten
Frage von KidChinoWindows Userverwaltung13 Kommentare

Hallo zusammen, ich habe folgende Aufgabenstellung bekommen, leider weiß ich noch nicht so recht, wie sich das realisieren lässt: ...

Windows Server

GPO: Gesonderte Kennwortrichtlinie für Adminkonten

gelöst Frage von hagenharryWindows Server2 Kommentare

Hallo miteinander, bei uns wurde kürzlich ein Audit durchgeführt, aus dem u.a. die Anforderung kam, dass unsere Domänen-Adminacounts eine ...

Vmware

VMs verlieren zufällig Netzwerkverbindung

Frage von OniChanVmware3 Kommentare

Servus zusammen, wir haben das "lustige" Phänomen, dass auf mehreren ESX Hosts (nicht in einem Cluster, kein vMotion) zufällige ...

Windows Update

RDP-Server verlieren nach Updates Kontakt zur Domäne

Frage von FA-jkaWindows Update7 Kommentare

Hallo, ich hatte heute bei diversen RDP-Servern das Problem, dass diese nach Einspielen der Updates den Kontakt zur Domäne ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 18 StundenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 18 StundenSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 1 TagDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 1 TagSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
Exchange Server
Exchange Postfach Einbindung Betriebs-rat -Arzt, Bewerbung .
gelöst Frage von YellowcakeExchange Server23 Kommentare

Hey ich habe da mal eine Denksport Aufgabe bekommen Genutzt wird ein Exchange Server 2010. hier gibt es den ...

Windows Server
Downgrade von Windows Server 2016 auf 2012 - Wie vorgehen?
Frage von EstefaniaWindows Server13 Kommentare

Guten Ich habe eine Frage an Erfahrene unter euch. Durch einen InPlace Upgrade wurde Windows Server 2012 auf die ...

Windows Server
Delgegierte OU via RDP verwalten - Objektverwaltung zuweisen
gelöst Frage von TOAOICEWindows Server12 Kommentare

Hallo, ich habe folgendes Problem. Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test ...

Datenschutz
Telematikinfrastruktur Erfahrungsaustausch
Frage von MOS6581Datenschutz12 Kommentare

Moin, unter meinen Kunden befinden sich auch einige Ärzte, welche sich künftig mit der Telematikinfrastruktur-Geschichte der Gematik herumärgern dürfen. ...