8
Fehlende Registry-Einträge als Benutzer ohne Administrationsrechte
Hallo,
wenn auch ein bisschen spät: Frohes Neues!
Ich bin Administrator in einem kleinen Betrieb mit einem Windows 2008 SBS und ca 25 Windows-XP Prof SP3 Clients.
Die Benutzer sind momentan noch Domänenadmins.
Zum Problem: Momentan sind noch alle Benutzer in der Gruppe Domänenadmins.
Aus verständlichen Gründen möchte ich die Benutzerrechte einschränken.
Also hab ich mir testweise einen Benutzer hergenommen und ihn aus der Gruppe der Administratoren rausgenommen. Er ist natürlich nach wie vor Mitglied von Domänenbenutzer.
Die Netzwerkfreigaben etc sind für die Gruppe Domänenbenutzer auf Vollzugriff.
Logge ich mich nun mit dem Benutzer - der nun ja keine Adminrechte mehr hat - auf einem Windows XP-Client ein, wird nur ein Bruchteil der Autostartprogramme geladen.
Outlook startet nicht mit "Outlook kann nicht gestartet werden"-Meldung. Viele andere Programme starten nicht mit dem Hinweis, dass Einträge in der Registrierung fehlen.
Also mal geschaut: Als Benutzer MIT administratorrechten habe ich viel mehr Einträge unter HKEY_CURRENT_USER\SOFTWARE, als wenn ich der Benutzer wieder ausserhalb der Gruppe Domänenadministratoren ist.
Wie kann es sein, dass nur durch die Tatsache, dass ein Benutzer weniger Rechte hat, elementare Bestandteile des HKCU\SOFTWARE-Trees fehlen??? So zum Beispiel fehlt beinah der gesamte Tree unter "DatevAG", was dazu führt dass die Datevsoftware nicht mehr starten kann.
Wie kann ich das ändern?
Noch der Hinweis: Die Profile sind servergespeichert, falls das was ausmacht...
Ich hoffe ihr könnt mir helfen! Danke
Schöne Grüße
Florian
Aus verständlichen Gründen möchte ich die Benutzerrechte einschränken.
Also hab ich mir testweise einen Benutzer hergenommen und ihn aus der Gruppe der Administratoren rausgenommen. Er ist natürlich nach wie vor Mitglied von Domänenbenutzer.
Die Netzwerkfreigaben etc sind für die Gruppe Domänenbenutzer auf Vollzugriff.
Logge ich mich nun mit dem Benutzer - der nun ja keine Adminrechte mehr hat - auf einem Windows XP-Client ein, wird nur ein Bruchteil der Autostartprogramme geladen.
Outlook startet nicht mit "Outlook kann nicht gestartet werden"-Meldung. Viele andere Programme starten nicht mit dem Hinweis, dass Einträge in der Registrierung fehlen.
Also mal geschaut: Als Benutzer MIT administratorrechten habe ich viel mehr Einträge unter HKEY_CURRENT_USER\SOFTWARE, als wenn ich der Benutzer wieder ausserhalb der Gruppe Domänenadministratoren ist.
Wie kann es sein, dass nur durch die Tatsache, dass ein Benutzer weniger Rechte hat, elementare Bestandteile des HKCU\SOFTWARE-Trees fehlen??? So zum Beispiel fehlt beinah der gesamte Tree unter "DatevAG", was dazu führt dass die Datevsoftware nicht mehr starten kann.
Wie kann ich das ändern?
Noch der Hinweis: Die Profile sind servergespeichert, falls das was ausmacht...
Ich hoffe ihr könnt mir helfen! Danke
Schöne Grüße
Florian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 157998
Url: https://administrator.de/contentid/157998
Printed on: April 19, 2024 at 21:04 o'clock
8 Comments
Latest comment
versuch mal einen neuen user anzulegen und gib dem genau die rechte die auf mitarbeiter xy zustimmen
dann spielst du alles von seinem alten profil hinüber was rüber muss...
lg
dann spielst du alles von seinem alten profil hinüber was rüber muss...
lg
Hallo Florian,
zuallererst kommst Du natürlich um einen Kommentar nicht drumherum: User sind keine Domänenadmins. Niemals. Zu keiner Zeit. Und schon gar nicht zu Konfigurationszwecken oder während Installationen. Sie sind lokale Admins, wenn es erforderlich ist, aber keine Domänenadmins. Zur DATEV-Installation sind auch keine Adminrechte der User erforderlich. Im Gegenteil, wenn Du es sauber haben willst, löscht Du die User und legst sie neu an. Erfahrungswert aus der Vergangenheit, habe auch mal angefangen...
Die Ursache für das Verhalten kenne ich nicht, habe sie nie verfolgt, hatte das Problem selbst zwei oder dreimal (Admin bei einem IT-Dienstleister, DATEV-Systempartner). Es hat jedesmal mit der Neuanlage der User geendet, weil selbst, wenn Du es jetzt hingebogen bekommst, es beim nächsten DATEV-Update wieder Fehler geben kann. So habe ich es erlebt. Spätestens die 25.0 bringt Dich dahin zurück, wo Du jetzt bist.
Wenn Du für lokale Konfigurationszwecke höhere Rechte brauchst, zum Beispiel, weil Du nicht bei der manuellen Druckereinrichtung behindert werden willst oder weil irgendein Programm sonst seinen ersten Start verweigert oder irgendwas nicht richtig startet, mach die User zu lokalen Admins, wenn Hauptbenutzer schon nicht reicht. Aber niemals zu Domänenadmins. DomAdmins haben Sonderfunktionen, die sich auch von denen lokaler Admins deutlich unterscheiden, da kann es schon mal die eine oder andere "Unschärfe" geben, wenn Du denen die Rechte wegnimmst.
Ich nehme an, dass Du den Job noch nicht so sehr lange machst oder zumindest noch nicht vor solchen Aufgaben gestanden hast. gruppenrichtlinien.de ist eine sehr gute Seite, wo Du auch viel über Vereinfachungen in der Administration lernen kannst, zum Beispiel Netzwerkdrucker einrichten, ohne die User zu Alleszerstörern machen zu müssen.
Sorry, wenn ich Dir jetzt den Tag versaut hab.
Gruß
Jörg
zuallererst kommst Du natürlich um einen Kommentar nicht drumherum: User sind keine Domänenadmins. Niemals. Zu keiner Zeit. Und schon gar nicht zu Konfigurationszwecken oder während Installationen. Sie sind lokale Admins, wenn es erforderlich ist, aber keine Domänenadmins. Zur DATEV-Installation sind auch keine Adminrechte der User erforderlich. Im Gegenteil, wenn Du es sauber haben willst, löscht Du die User und legst sie neu an. Erfahrungswert aus der Vergangenheit, habe auch mal angefangen...
Die Ursache für das Verhalten kenne ich nicht, habe sie nie verfolgt, hatte das Problem selbst zwei oder dreimal (Admin bei einem IT-Dienstleister, DATEV-Systempartner). Es hat jedesmal mit der Neuanlage der User geendet, weil selbst, wenn Du es jetzt hingebogen bekommst, es beim nächsten DATEV-Update wieder Fehler geben kann. So habe ich es erlebt. Spätestens die 25.0 bringt Dich dahin zurück, wo Du jetzt bist.
Wenn Du für lokale Konfigurationszwecke höhere Rechte brauchst, zum Beispiel, weil Du nicht bei der manuellen Druckereinrichtung behindert werden willst oder weil irgendein Programm sonst seinen ersten Start verweigert oder irgendwas nicht richtig startet, mach die User zu lokalen Admins, wenn Hauptbenutzer schon nicht reicht. Aber niemals zu Domänenadmins. DomAdmins haben Sonderfunktionen, die sich auch von denen lokaler Admins deutlich unterscheiden, da kann es schon mal die eine oder andere "Unschärfe" geben, wenn Du denen die Rechte wegnimmst.
Ich nehme an, dass Du den Job noch nicht so sehr lange machst oder zumindest noch nicht vor solchen Aufgaben gestanden hast. gruppenrichtlinien.de ist eine sehr gute Seite, wo Du auch viel über Vereinfachungen in der Administration lernen kannst, zum Beispiel Netzwerkdrucker einrichten, ohne die User zu Alleszerstörern machen zu müssen.
Sorry, wenn ich Dir jetzt den Tag versaut hab.
Gruß
Jörg
Hi.
Erstmal würde ich auch gerne ein Straflied singen... Domänenadmins? Wenn Ihr Sicherheit (allzu) ernst nehmen würdet, müsstet Ihr nun Eure komplette Domäne als bereits kompromittiert ansehen und neu aufsetzen samt aller PCs - denn Sicherheit etabliert sich nicht wieder nachträglich, nachdem das Kind einmal im Brunnen war.
Wenn Du wissen willst, warum HKCU\Software zusammenschrumpft, dann lass beim Start procmon mitloggen (option: bootlogging | Vergleich starker - schwacher Nutzer) und so kommst Du ebenfalls dahinter, warum der Zugriff auf einige Autostarts fehlt.
Erstmal würde ich auch gerne ein Straflied singen... Domänenadmins? Wenn Ihr Sicherheit (allzu) ernst nehmen würdet, müsstet Ihr nun Eure komplette Domäne als bereits kompromittiert ansehen und neu aufsetzen samt aller PCs - denn Sicherheit etabliert sich nicht wieder nachträglich, nachdem das Kind einmal im Brunnen war.
Wenn Du wissen willst, warum HKCU\Software zusammenschrumpft, dann lass beim Start procmon mitloggen (option: bootlogging | Vergleich starker - schwacher Nutzer) und so kommst Du ebenfalls dahinter, warum der Zugriff auf einige Autostarts fehlt.
Ja,
also das Straflied ist natürlich zu recht. Ich hab das System so übernommen und in letzter Zeit aus unterschiedlichen Gründen noch nicht geändert.
Zum Beispiel sind Adminrechte nötig wenn Java oder Flashplayer oder was auch immer ein Update möchten. Mittlerweile wird über Gruppenrichtlinie Java, Adobe Flash, Adobe Reader, Firefox usw automatisch vom Server aus installiert. Mal davon ab, dass ich drei Chefs habe, die sich nicht von mir vorschreiben lassen wollen, wann sie was auf den Notebooks installiern. Traurig aber wahr. Zumindest die werden wohl auch zukünftig dann lokale Adminrechte bekommen.
Ja ich könnt die ganze Domäne als kompromittiert ansehen, tue ich aber nicht.
Dennoch würd mich doch schon interessieren welche weitergehenden Rechte der Domänenadmin auf dem lokalen Client denn hat.
Interessanterweise funktioniert alles nur dann richtig, wenn ich den Benutzer als Domänenadmin führe, als Administrator reicht es nicht! Selbe Fehler, als wäre der Benutzer komplett ohne Administrationsrechte...
Aber zum erfreulichen:
Wie Christian und Jörg vorgeschlagen haben, habe ich einen neuen Benutzer angelegt der praktisch nur Mitglied von Domänen-Benutzer und kein Mitglied einer administrativen Gruppe ist. Es funktioniert. Alle Anwendungen starten korrekt auch ohne adminrechte.
Gerne würde ich ja das Problem so knacken, ohne alle Nutzer mit deren Profilen und Exchangepostfächern neu anlegen zu müssen...
@96533: Das mit dem Procmon werd ich morgen mal versuchen. Vielleicht sieht man da ja was ausschlussreiches.
Aber wenn ich Jörg zuhöre, komm ich um das Neuanlegen wohl nicht drumrum.
Sollte jemand noch eine Lösung kennen - ohne Neuanlage der Benutzer - immer her damit...
Danke schonmal
also das Straflied ist natürlich zu recht. Ich hab das System so übernommen und in letzter Zeit aus unterschiedlichen Gründen noch nicht geändert.
Zum Beispiel sind Adminrechte nötig wenn Java oder Flashplayer oder was auch immer ein Update möchten. Mittlerweile wird über Gruppenrichtlinie Java, Adobe Flash, Adobe Reader, Firefox usw automatisch vom Server aus installiert. Mal davon ab, dass ich drei Chefs habe, die sich nicht von mir vorschreiben lassen wollen, wann sie was auf den Notebooks installiern. Traurig aber wahr. Zumindest die werden wohl auch zukünftig dann lokale Adminrechte bekommen.
Ja ich könnt die ganze Domäne als kompromittiert ansehen, tue ich aber nicht.
Dennoch würd mich doch schon interessieren welche weitergehenden Rechte der Domänenadmin auf dem lokalen Client denn hat.
Interessanterweise funktioniert alles nur dann richtig, wenn ich den Benutzer als Domänenadmin führe, als Administrator reicht es nicht! Selbe Fehler, als wäre der Benutzer komplett ohne Administrationsrechte...
Aber zum erfreulichen:
Wie Christian und Jörg vorgeschlagen haben, habe ich einen neuen Benutzer angelegt der praktisch nur Mitglied von Domänen-Benutzer und kein Mitglied einer administrativen Gruppe ist. Es funktioniert. Alle Anwendungen starten korrekt auch ohne adminrechte.
Gerne würde ich ja das Problem so knacken, ohne alle Nutzer mit deren Profilen und Exchangepostfächern neu anlegen zu müssen...
@96533: Das mit dem Procmon werd ich morgen mal versuchen. Vielleicht sieht man da ja was ausschlussreiches.
Aber wenn ich Jörg zuhöre, komm ich um das Neuanlegen wohl nicht drumrum.
Sollte jemand noch eine Lösung kennen - ohne Neuanlage der Benutzer - immer her damit...
Danke schonmal
Hey, Du hörst Dich ja noch recht gut an, noch gar nicht so richtig verzweifelt 
Der Unterschied zwischen lokalen und Domänenadmins betrifft schon mal Rechte im Netzwerk. Ein lokaler Admin hat im Netz keine Rechte. Sehr wohl aber kann der Domänenadmin dem Client-PC Dinge über den Kopf des lokalen Admins hinweg vorschreiben. Alles, was den Domänenverbund angeht, Sicherheitseinstellungen, Zugriffsregelungen, Passwortanforderungen, alles Dinge, wo der lokale Admin nur Hilfssheriff ist.
Ich denke jetzt mal nur schriftlich, was jetzt kommt, ist also nur so theoretisiert und nicht getestet.
Die Profile liegen auf dem Server, ergo liegt da auch die ntuser.dat, was der HKCU-Hive in der Registry ist. Bei Erstanlage des Profils oder bei Berechtigungsübernahme durch einen Domänenadmin kann ich mir vorstellen, dass nach dem Herabsetzen der Rechte hier ein Problem entsteht. Nur so eine Idee, wie gesagt: nicht getestet. Ein denkbarer Punkt immerhin. Der Teil unter HKCU\Software, den Du immer zu sehen bekommst, ist der, der auch im Default-User ganz unten in der Registry zu sehen ist. Wenn die ntuser.dat nicht korrekt geladen werden kann und stattdessen eine temporäre oder lokale Version verwendet wird, kann das eine Kopie von vor der Installation sein. Wenn Du Langeweile hast, kannst Du das ja mal verfolgen, interessieren würde mich das schon auch, was dann da genau abläuft. Befrage doch mal die Ereignisanzeigen, wenn Du einem User die DomAdminrechte nachträglich weggenommen hast, was bei der Anmeldung passiert. Oder eben procmon, hatte ich auch im Kopf, aber kurz vor Feierabend wieder verdrängt
Wenn Dir der Sicherheitsaspekt soweit egal ist - ich denke, bei einem 25-User-Netzwerk kann die Kirche auch mal im Dorf bleiben - schau mal, ob Du mit irgendwelchen Sicherheitseinstellungen auf das Profil weiterkommst. Vergleiche das Profil auf dem Server mit der lokalen Kopie auf dem Client. Was die DATEV-Einträge angeht, kannst Du die von Administrator exportieren und beim User wieder importieren, wie das allerdings nach der nächsten Installation aussieht, weiß ich nicht. Bedingung ist, dass die Laufwerke gleich sind. Probleme könnten evtl. mit der NuKo auftreten. In dem Fall: 0911/319-... Durchwahl je nach Status. Wenn andere Programme auch betroffen sind, könnte es Probleme geben, zum Beispiel mit MS Office, da sind teilweise User-Infos mit drin, die Du dann verteilst. Plötzlich heißen dann alle im Outlook Hans Müller. Und alle Dateien wurden auch von Hansi erstellt und geändert. Sowas kann passieren.
Bei 25 Usern - hm, ich würde sagen, das übt. Profile weg, Dateien speichern und neu, hopp. Vielleicht bist Du ja in einem Bundesland unterwegs, wo es gerade am Freitag einen Brückentag hat, obwohl ich Dir den durchaus als freien Tag gönnen würde, so wie mir auch
Was allerdings die Forderung Deiner Chefs angeht, hier mal meine Erfahrungen damit: Ich habe nur zwei oder dreimal über dieses Thema diskutiert, dann hatte ich genug Munition, dass ich nur noch informiert habe. Der Erfolg war, dass sich 80% der Möchtegern-Götter mit User-Rechten zufriedengegeben haben und die anderen 20% haben mir unterschrieben, dass es deren eigener Wunsch ist und dass ich sie über die Folgen aufgeklärt haben. Ich hatte damals ein vorbereitetes Schreiben, wo ich die Gefahren drinstehen hatte.
Erklär Deinen Chefs, dass es durch ihre Forderung möglich ist, dass sie sich auch ungewollt und völlig ohne Absicht etwas installieren können, was das Netzwerk so lahmlegt, dass ein Arbeiten über mehrere Tage nicht möglich ist. Wenn denen das auch während der Lohnabrechnungsphasen und zu Zeiten dringender Kundentermine nichts ausmacht, brauchst Du nur noch den Freispruch, weil Dinge passieren könnten, die Dich möglicherweise vor Gericht bringen. Als Angeklagten. Besorg Dir den Freispruch vorher, den Ärger hast Du im Falle eines Falles immer noch, aber wenigstens eine schriftlich bestätigte Ausrede, ein guter Anwalt macht dann den Rest. Frag sie vor allem, was sie sich technisch davon versprechen, erklär ihnen, dass Du die Datensicherheit nicht mehr garantieren kannst. Wenn alles nicht hilft, gib denen so viel Freiheiten, dass wirklich was kaputt geht und dass es wirklich einen ernsthaften Ausfall gibt und weise denen nach, warum das so war. Das geht ans Geld, an die Nerven und hilft fast immer.
Die Chefs und ihre Wünsche... mein Lieblingsthema
Viel Erfolg mit den Profilen!
Jörg
Der Unterschied zwischen lokalen und Domänenadmins betrifft schon mal Rechte im Netzwerk. Ein lokaler Admin hat im Netz keine Rechte. Sehr wohl aber kann der Domänenadmin dem Client-PC Dinge über den Kopf des lokalen Admins hinweg vorschreiben. Alles, was den Domänenverbund angeht, Sicherheitseinstellungen, Zugriffsregelungen, Passwortanforderungen, alles Dinge, wo der lokale Admin nur Hilfssheriff ist.
Ich denke jetzt mal nur schriftlich, was jetzt kommt, ist also nur so theoretisiert und nicht getestet.
Die Profile liegen auf dem Server, ergo liegt da auch die ntuser.dat, was der HKCU-Hive in der Registry ist. Bei Erstanlage des Profils oder bei Berechtigungsübernahme durch einen Domänenadmin kann ich mir vorstellen, dass nach dem Herabsetzen der Rechte hier ein Problem entsteht. Nur so eine Idee, wie gesagt: nicht getestet. Ein denkbarer Punkt immerhin. Der Teil unter HKCU\Software, den Du immer zu sehen bekommst, ist der, der auch im Default-User ganz unten in der Registry zu sehen ist. Wenn die ntuser.dat nicht korrekt geladen werden kann und stattdessen eine temporäre oder lokale Version verwendet wird, kann das eine Kopie von vor der Installation sein. Wenn Du Langeweile hast, kannst Du das ja mal verfolgen, interessieren würde mich das schon auch, was dann da genau abläuft. Befrage doch mal die Ereignisanzeigen, wenn Du einem User die DomAdminrechte nachträglich weggenommen hast, was bei der Anmeldung passiert. Oder eben procmon, hatte ich auch im Kopf, aber kurz vor Feierabend wieder verdrängt
Wenn Dir der Sicherheitsaspekt soweit egal ist - ich denke, bei einem 25-User-Netzwerk kann die Kirche auch mal im Dorf bleiben - schau mal, ob Du mit irgendwelchen Sicherheitseinstellungen auf das Profil weiterkommst. Vergleiche das Profil auf dem Server mit der lokalen Kopie auf dem Client. Was die DATEV-Einträge angeht, kannst Du die von Administrator exportieren und beim User wieder importieren, wie das allerdings nach der nächsten Installation aussieht, weiß ich nicht. Bedingung ist, dass die Laufwerke gleich sind. Probleme könnten evtl. mit der NuKo auftreten. In dem Fall: 0911/319-... Durchwahl je nach Status. Wenn andere Programme auch betroffen sind, könnte es Probleme geben, zum Beispiel mit MS Office, da sind teilweise User-Infos mit drin, die Du dann verteilst. Plötzlich heißen dann alle im Outlook Hans Müller. Und alle Dateien wurden auch von Hansi erstellt und geändert. Sowas kann passieren.
Bei 25 Usern - hm, ich würde sagen, das übt. Profile weg, Dateien speichern und neu, hopp. Vielleicht bist Du ja in einem Bundesland unterwegs, wo es gerade am Freitag einen Brückentag hat, obwohl ich Dir den durchaus als freien Tag gönnen würde, so wie mir auch
Was allerdings die Forderung Deiner Chefs angeht, hier mal meine Erfahrungen damit: Ich habe nur zwei oder dreimal über dieses Thema diskutiert, dann hatte ich genug Munition, dass ich nur noch informiert habe. Der Erfolg war, dass sich 80% der Möchtegern-Götter mit User-Rechten zufriedengegeben haben und die anderen 20% haben mir unterschrieben, dass es deren eigener Wunsch ist und dass ich sie über die Folgen aufgeklärt haben. Ich hatte damals ein vorbereitetes Schreiben, wo ich die Gefahren drinstehen hatte.
Erklär Deinen Chefs, dass es durch ihre Forderung möglich ist, dass sie sich auch ungewollt und völlig ohne Absicht etwas installieren können, was das Netzwerk so lahmlegt, dass ein Arbeiten über mehrere Tage nicht möglich ist. Wenn denen das auch während der Lohnabrechnungsphasen und zu Zeiten dringender Kundentermine nichts ausmacht, brauchst Du nur noch den Freispruch, weil Dinge passieren könnten, die Dich möglicherweise vor Gericht bringen. Als Angeklagten. Besorg Dir den Freispruch vorher, den Ärger hast Du im Falle eines Falles immer noch, aber wenigstens eine schriftlich bestätigte Ausrede, ein guter Anwalt macht dann den Rest. Frag sie vor allem, was sie sich technisch davon versprechen, erklär ihnen, dass Du die Datensicherheit nicht mehr garantieren kannst. Wenn alles nicht hilft, gib denen so viel Freiheiten, dass wirklich was kaputt geht und dass es wirklich einen ernsthaften Ausfall gibt und weise denen nach, warum das so war. Das geht ans Geld, an die Nerven und hilft fast immer.
Die Chefs und ihre Wünsche... mein Lieblingsthema
Viel Erfolg mit den Profilen!
Jörg
Hallo Florian,
User sind in erster Linie DomaenenUSER das ist Standard. Die koennen sich am Server mit Ihren Client PCs anmelden und das tun was Du ihnen zuaetzlich erlaubst.
Meldet sich der Benutzer am "Rechner" an oder an der "Domaene"?
Software wird in der Regel als "Administrator oder Domaenenadmin" installiert und dann als Benutzer verwendet. Wenn die Software so nicht funktioniert solltest Du mal den Support des Hersteller kontaktieren ob die Software Adminrechte braucht oder nicht.
Wenn Du Updates verteilen moechtest dann bitte mit GPOs bzw WSUS oder spezieller Software. Niemals den User die Update Berechtigung geben sonst installiert der was er will und Du hast als Admin laufend Probleme.
Die Profile sollten auch weiterhin funktionieren wenn Du die Rechte der User einschraenkst. Sonst Software als Admin nochmal installieren.
Wie hast Du denn das Office auf den PCs installiert?
Die Autostart Programme musst Du unter allen Usern installieren damit jeder User davon profitiert
MFG
Starmanager
User sind in erster Linie DomaenenUSER das ist Standard. Die koennen sich am Server mit Ihren Client PCs anmelden und das tun was Du ihnen zuaetzlich erlaubst.
Meldet sich der Benutzer am "Rechner" an oder an der "Domaene"?
Software wird in der Regel als "Administrator oder Domaenenadmin" installiert und dann als Benutzer verwendet. Wenn die Software so nicht funktioniert solltest Du mal den Support des Hersteller kontaktieren ob die Software Adminrechte braucht oder nicht.
Wenn Du Updates verteilen moechtest dann bitte mit GPOs bzw WSUS oder spezieller Software. Niemals den User die Update Berechtigung geben sonst installiert der was er will und Du hast als Admin laufend Probleme.
Die Profile sollten auch weiterhin funktionieren wenn Du die Rechte der User einschraenkst. Sonst Software als Admin nochmal installieren.
Wie hast Du denn das Office auf den PCs installiert?
Die Autostart Programme musst Du unter allen Usern installieren damit jeder User davon profitiert
MFG
Starmanager
@Starmanager:
Der User meldet sich an der Domäne an. Die Datevsoftware und das MS-Office-Paket können ohne Adminrechte laufen und wie Jörg schon mal schrieb, ist die Datevsoftware durchaus dafür gebaut (z.B automatische Adminanmeldung für Datevupdates).
Updates für Software wird mittlerweile per GPO verteilt.
@Jörg:
Tatsächlich besteht das Problem offenbar darin, dass ohne Adminrechte das servergespeicherte Profil nicht richtig übernommen wird und damit der HKCU\SOFTWARE Tree nicht angewendet wird. Dabei hab ich heute versucht das in den Griff zu bekommen. Rechte für das Profileverzeichnis mal testweise auf "Jeder" lesen+schreiben gesetzt, die Rechte mal auf Defaulteinstellungen zurückgesetzt, die Freigabe neu eingerichtet, und und und...
Hilft nichts - das servergespeicherte Profil wird für einen bestehenden Nutzer, der vorher mal Domänenadmin war, nicht übernommen.
Anders wenn ich den User neu anlege und ihn direkt ohne Adminrechte einrichte. Ich hab ihn dann mal testweise zwischenzeitlich zum Lokaladmin (über GPO -> eingeschränkte Rechte -> Administrator) befördert und dann wieder rausgenommen.
Ohne murren starten nach wie vor alle Programme beim neu eingerichteten auch ohne Adminrechte und die Registry sieht gut aus.
Ich weiß auch nicht mehr, Procmon würd mir nur helfen, wenn es als Dienst während der Anmeldung loggen würde...
Also werd ich die Profile neu anlegen und das Kapitel unter Geheimnisse des ActiveDirectory ablegen. Schade schade.
Das WE ist damit schon mal gefüllt.
Achja, was Haftung und so angeht. Ich bin Student und mache den Job auf 400EUR-Basis. Kein Vertrag. Dürfte rechtlich schwierig werden mich in die Verantwortung zu ziehen falls Chef mit seinen Adminrechten Mist baut.
Aber ich werd auf euch hören und denen erstmal nur normale Userrechte gewähren. Dann muss man mal schauen, wie oft tatsächlich Adminrechte benötigt würden.
Schöne Grüße und vielen Dank!
Der User meldet sich an der Domäne an. Die Datevsoftware und das MS-Office-Paket können ohne Adminrechte laufen und wie Jörg schon mal schrieb, ist die Datevsoftware durchaus dafür gebaut (z.B automatische Adminanmeldung für Datevupdates).
Updates für Software wird mittlerweile per GPO verteilt.
@Jörg:
Tatsächlich besteht das Problem offenbar darin, dass ohne Adminrechte das servergespeicherte Profil nicht richtig übernommen wird und damit der HKCU\SOFTWARE Tree nicht angewendet wird. Dabei hab ich heute versucht das in den Griff zu bekommen. Rechte für das Profileverzeichnis mal testweise auf "Jeder" lesen+schreiben gesetzt, die Rechte mal auf Defaulteinstellungen zurückgesetzt, die Freigabe neu eingerichtet, und und und...
Hilft nichts - das servergespeicherte Profil wird für einen bestehenden Nutzer, der vorher mal Domänenadmin war, nicht übernommen.
Anders wenn ich den User neu anlege und ihn direkt ohne Adminrechte einrichte. Ich hab ihn dann mal testweise zwischenzeitlich zum Lokaladmin (über GPO -> eingeschränkte Rechte -> Administrator) befördert und dann wieder rausgenommen.
Ohne murren starten nach wie vor alle Programme beim neu eingerichteten auch ohne Adminrechte und die Registry sieht gut aus.
Ich weiß auch nicht mehr, Procmon würd mir nur helfen, wenn es als Dienst während der Anmeldung loggen würde...
Also werd ich die Profile neu anlegen und das Kapitel unter Geheimnisse des ActiveDirectory ablegen. Schade schade.
Das WE ist damit schon mal gefüllt.
Achja, was Haftung und so angeht. Ich bin Student und mache den Job auf 400EUR-Basis. Kein Vertrag. Dürfte rechtlich schwierig werden mich in die Verantwortung zu ziehen falls Chef mit seinen Adminrechten Mist baut.
Aber ich werd auf euch hören und denen erstmal nur normale Userrechte gewähren. Dann muss man mal schauen, wie oft tatsächlich Adminrechte benötigt würden.
Schöne Grüße und vielen Dank!
Hallo Florian,
nach einem ausgedehnten Wochenende mit viel Kuchen, Billard, Bier und Wein (meine Profile laufen alle) noch eine Sache wegen der Haftung:
Du bist der Admin, also haftest Du für manche Dinge vor dem Gesetz.
In Deutschland gilt ein Vertrag als geschlossen, wenn Du über einen Bezahlzeitraum hinaus (also üblicherweise ein Monat) Deine Arbeit wieder antrittst. Mit Rechten und Pflichten auf beiden Seiten.
Ich weiß nicht, wie das mit 400-Euro-Jobs aussieht und ich weiß auch nicht, ob der Job als Admin reicht oder ob man bestimmte Verpflichtungen unterschrieben haben muss, aber wenn was gründlich schief läuft, es für die Chefs teuer würde und die jemand anderen der Justiz zum Fraß vorwerfen können, werden die einen genügend guten Anwalt finden, der das durchsetzt.
Man wird Dir alles danken. Man wird Dir alles bezahlen. Und man wird Dich für alles ehren. Aber eine kaputte Gesundheit, einen ruinierten Ruf und entgangenes Glück jeder Art bezahlt einem keine Sau. Trau den Jungs soweit, wie Du sie werfen kannst. Danach sorge für Dich selbst.
Gruß
Jörg
nach einem ausgedehnten Wochenende mit viel Kuchen, Billard, Bier und Wein (meine Profile laufen alle
) noch eine Sache wegen der Haftung:Du bist der Admin, also haftest Du für manche Dinge vor dem Gesetz.
In Deutschland gilt ein Vertrag als geschlossen, wenn Du über einen Bezahlzeitraum hinaus (also üblicherweise ein Monat) Deine Arbeit wieder antrittst. Mit Rechten und Pflichten auf beiden Seiten.
Ich weiß nicht, wie das mit 400-Euro-Jobs aussieht und ich weiß auch nicht, ob der Job als Admin reicht oder ob man bestimmte Verpflichtungen unterschrieben haben muss, aber wenn was gründlich schief läuft, es für die Chefs teuer würde und die jemand anderen der Justiz zum Fraß vorwerfen können, werden die einen genügend guten Anwalt finden, der das durchsetzt.
Man wird Dir alles danken. Man wird Dir alles bezahlen. Und man wird Dich für alles ehren. Aber eine kaputte Gesundheit, einen ruinierten Ruf und entgangenes Glück jeder Art bezahlt einem keine Sau. Trau den Jungs soweit, wie Du sie werfen kannst. Danach sorge für Dich selbst.
Gruß
Jörg
