Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Hauptbenutzern das Ändern der Systemzeit verbieten

Mitglied: teiomi

teiomi (Level 1) - Jetzt verbinden

05.03.2009, aktualisiert 11.03.2009, 8187 Aufrufe, 9 Kommentare

Hallo Helfende,

ich habe, wie einige andere auch, ein Problem mit der Systemzeit unserer Clients.
Wir haben verschiedene win2003 domaincontroller und viele xp-clients.

Unsere User sind Hauptbenutzer. (Dies muss auf Grund von unserer Rechtestruktur in verscheidenster Software so sein)

Problem ist das die User als Hauptbenutzer die Systemzeit verändern können.
Dies soll über eine Gruppenrichtlinie verboten werden.

Ich habe die anderen Beiträge hier und über google gelesen, jedoch bringt mich das nicht weiter.
unter der "Computer\Windows Einstellungen\Lokale RichtlinienZuweisen von Benutzerrechten\Ändern der Systemzeit" kann ich keine Rechte beschneiden!
Ich kann dort nur anderen Gruppen Rechte erteilen.

Gibt es eine Möglichkeit über die gpo das Ändern der Systemzeit zu verbieten?

Schon mal vorab vielen Dank für eure Posts.

Gruß Teiomi
Mitglied: 60730
05.03.2009 um 13:17 Uhr
Servus und willkommen im Club,

ich setze mal an dem Punkt an, der wirklich "stört" und nicht nur ein klitzekleines Symtom deines Problems ist:

Unsere User sind Hauptbenutzer. (Dies muss auf Grund von unserer Rechtestruktur in verscheidenster Software so sein)

Hier sind genügend gute Admins dabei, die dir helfen können - daß genau diese Zeile "Geschichte" sein kann.

Dazu mußt du nur (am besten in einem anderen Beitrag) deine Software aufzählen, für die "angeblich" Admin / Hauptbenutzerrechte notwendig sind.

Seit XP ist das mit den zuvielen Rechten nun wirklich nicht mehr nötig

Gruß
Bitte warten ..
Mitglied: Dye.Kehasa
05.03.2009 um 13:39 Uhr
Was ich nicht so ganz daran verstehe ist, weshalb du in deinem konkreten Fall nicht die Hauptbenutzer an der genannten Stelle einfach entfernen kannst ?!
oder wieso du nicht eine neue Richtlinie definieren kannst ind er Adminsitratoren das Recht haben ???

Tatsächlich soltest du dir aber wirklich überlegen, wozu die User diese erweiterten Rechte benötigen. Da liegt kein Segen drin...
Bitte warten ..
Mitglied: teiomi
05.03.2009 um 14:16 Uhr
Hallo,

vorab danke für die Antworten.
Ich stimme euch komplett zu! Es ist definitiv der richtige Weg die struktur der Rechte zu überarbeiten und rechte zu "vergeben" anstatt alle zu erteilen und dann zu beschneiden.

Das Problem an dieser Geschichte sind die Kosten für die Firma.
Es wäre ein imenser Zeitaufwand diese Rechtestruktur umzustellen. Wir haben sehr viel Individiualsoftware im einsatz. Teilweise sind diese Tools aus den 90'gern.

wir sind in dem Team (dem ich angehöre) immer daran Sachen zu verändern und verbessern.

ABER: wir haben mit den Hauptbenutzern absolut keine Probleme. Eine Umstellung der Rechtestruktur ist nicht nur gefährlich sondern imens zeit und kostenaufwändig. Das Problem ist, dass wir genau jetzt einen Fall haben, wo ein Anwender auf die Idee kam Historieneinträge zu fälschen indem er die Systemzeit manipulierte.

Privat bei mir zuhause mache ich es bestimmt nicht auf diese weise, jedoch in nem Unternehmen mit ein paar hundert Clients ist das so ne sache.

Wir steuern dagegen an diese Struktur beizubehalten und stellen eins nach dem anderen um.

Für die Historienfälschung muss allerdings vorab eine schnelle Lösung gefunden werden. Diese ist meines erachtens die "beste" in dem man den Clients über Gpo die Änderung verbietet. Leider bekomme ich das für die Hauptbenutzer nicht hin und finde auch nichts im internet wie ich das machen könnte.

Es gibt doch bestimmt einen Regkey der genau das bewirkt. Diesen könnte man ja z.B. in eine Adm packen und als gpo veröffentlichen.

Könnt ihr mir da helfen?

Gruß Teiomi
Bitte warten ..
Mitglied: teiomi
10.03.2009 um 11:24 Uhr
Hallo Helfende,

hat hier jemand noch eine Idee?
Leider stecke ich fest und komme nicht weiter.

Gruß Teiomi
Bitte warten ..
Mitglied: 60730
10.03.2009 um 15:43 Uhr
Servus,

ok - aber dann nur - wenn du aus den Haputbenutzern in deiner Überschrift "Hautbenutzern" machst
Auch spätere "suchende" sollen dann was davon haben ;.-)
..und da ich "bekanntlich" weder bis 3 zählen kann - aber dennoch kleinlich bin

du brauchst zwei Dateien:

Time.inf
01.
[Unicode] 
02.
Unicode=yes 
03.
[Version] 
04.
signature="$CHICAGO$" 
05.
Revision=1 
06.
[Privilege Rights] 
07.
sesystemtimeprivilege = Administratoren
... die sollte "irgendwo" zentral liegen - bei mir in c:\script\time - siehe den Pfad hinter /db...... in der "runme.cmd"
runme.cmd
01.
secedit /configure /db C:\script\time /cfg time.inf /overwrite
die runme.cmd führst du aus - und testet dann gegen, ob es klappt.

  • denn wie HubertN schon schrieb - eigentlich kannst du auch Gruppen/ Benutzer herausnehmen.
Wenn es trotz dieser Anleitung und Schritte nicht klappt - dann mußt du leider nach der Nadel im Heuhaufen suchen - denn bei mir funktioniert obiges.

Gruß
Bitte warten ..
Mitglied: teiomi
11.03.2009 um 07:54 Uhr
Zitat von 60730:
Servus,

ok - aber dann nur - wenn du aus den
Haputbenutzern in deiner Überschrift
"Hautbenutzern" machst

Ob die Leute Hautbenutzer sind, steht ausser Frage, aber ^^ *kleiner scherz.

btw: danke für deine Hilfe. ich werde das heute mal versuchen und schreiben ob es geklappt hat.

Ps.: Was meint ihr mit "eigentlich kannst du auch Gruppen/ Benutzer herausnehmen"?
in der gpo unter: Lokale RichtlinienZuweisen von Benutzerrechten\Ändern der Systemzeit" die Hauptbenutzer rausnehmen? geht das denn? ich kann dort doch nur User zuweisen die das Recht bekommen sollen. Und nicht die Hauptbenutzer oder Admins entfernen?!

Gruß Teiomi
Bitte warten ..
Mitglied: teiomi
11.03.2009 um 11:35 Uhr
so, habe das den Morgen versucht.

1.) Er mag keine unc-Pfade. wollte die Scriptfiles gerne ins dfs legen. Jetzt liegen sie dann halt unter c:\Batch\

2.) Er bringt mir eine Meldung die ich mitt Ja oder Nein beantworten muss. geht das Silent?
Die Konfiguration des aktuellen Systems mit dieser Vorlage im /Overwrite-Modus wird zum Verlust der Sicherheitseinträge in der darangegebenen Datenbank führen, einschl. der Konfigurationseinträge. Möchten Sie diesen Vorgang fortsetzen? [J/N]

3.) hat nicht gefruchtet. Erbringt mit bei ner eingebauten "Pause" folgende Meldung:
Der Auftrag wurde mit einem Fehler abgeschlossen. Detaillierte Informationen befinden sich in der Protokolldatei %windir%\security\logs\scesrv.log.
in dem Ordner Logs gibt es die Logdatei leider nicht. alle Systemdateien und versteckten Dateien werden angezeigt.

Hast du eine Idee?

User ist Hauptbenutzer, das habe ich geprüft. Muss man das vllt als Admin ausführen? Kann der Hauptbenutzer, weil er eben Hauptbenutzer ist, dass Script vllt nicht ausführen?

Ich teste das mal. to be continued.

Gruß Teiomi
Bitte warten ..
Mitglied: teiomi
11.03.2009 um 11:54 Uhr
Das kommt in der scesrv.log, wenn ich die cmd als admin ausführe.

Mittwoch, 11. März 2009 11:44:28
Warnung 5: Zugriff verweigert
Die vorhandene interne Datenbank kann nicht gelöscht werden.
Fehler 80: Die Datei ist vorhanden.
Fehler beim Erstellen von database.
----Konfigurationsmodul wurde mit einem oder mehreren Fehlern initialisiert.----
----Konfigurationsmodul wird deinitialisiert...

gruß Teiomi
Bitte warten ..
Mitglied: 60730
11.03.2009 um 13:50 Uhr
Servus,

User ist Hauptbenutzer, das habe ich geprüft. Muss man das vllt als Admin ausführen?
Yupp - Admin - sollte schon sein.

geht das Silent?
Gib mal secedit unter ausführen ein - da findest du alle Schalter - du "suchst" /quiet

Warnung 5: Zugriff verweigert
Die vorhandene interne Datenbank kann nicht gelöscht werden.

Also hast du irgendwo etwas, das dich daran hindert - siehe auch:
ich kann dort doch nur User zuweisen die das Recht bekommen sollen.
Und nicht die Hauptbenutzer oder Admins entfernen?!

Denn das geht "normalerweise" problemlos.
Nimm noch mal einen anderen Client und melde dich da als Domainadmin an.

Gruß
Bitte warten ..
Ähnliche Inhalte
Windows 7

Lan verbindung Aktivieren verbieten und trotzdem Eigenschaften ändern

gelöst Frage von Florian86Windows 72 Kommentare

Hallo, ich habe ein Notebook welches einen Benutzer hat, der nur in der Gruppe Benutzer drin ist. Nun soll ...

Windows Server

Systemzeit wird Falsch eingestellt

gelöst Frage von DupsiiWindows Server1 Kommentar

Mahlzeit zusammen! Und zwar plagt mich folgendes Problem: Auf einem unsrerer 2008 Windows Server wird im Ereignisprotokoll ein Eintrag ...

Windows Server

Dateiendungen verbieten

gelöst Frage von MahagonWindows Server10 Kommentare

Moin, ich möchte aufgrund dessen, dass in der Branche in der ich arbeite viele Kunden mit einem Cryptovirus befallen ...

Linux Desktop

Kubuntu verstellt Systemzeit nach Verbindung zum WWW

Frage von ScrollerLinux Desktop8 Kommentare

Hi bei Dualboot von Kubuntu und Windows Hat Linux immer die Zeit im Bios um 2 Stunden nach hinten ...

Neue Wissensbeiträge
Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 3 StundenHumor (lol)1 Kommentar

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 16 StundenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 16 StundenSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 20 StundenMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server40 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing19 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...