9
Verschieden Verhaltensweisen in der Domäne
Hallo,
im Firmennetzwerk bei uns sind ganz normale User einer GPO zugeteilt, diese jedoch verhält sich seltsamerweise unterschiedlich.
Es sind ca. 30 Clients im Netzwerk angemeldet bei ca 10 erscheint folgende Meldung wenn man z.B. die IP Adresse ändern möchte: IP Adresse ändern ist nur ein Beispiel - es geht um alle Administrativen Aufgaben
bei den anderen kommt das:
Erste Meldung ist für mich komplett neu diese kannte ich vorher noch nicht bewusst. Letzte ist die für mich gewohnte Meldung bei Arbeiten ohne Administrative Berechtigungen.
Die Benutzerkontensteuerung ist überall gleich konfiguriert, nur eben leider die Reaktion nicht.
Allgemein kann ich dazu noch sagen, dass es sogar Benutzer in der Domäne gibt welche mit identischen Rechten komplette Administrationsberechtigungen haben. Laut GPO's jedoch gleichgestellt sind.
Zum Verständnis: In der Firma gab es einen Admin der vor 15 Monaten gekündigt hatte. Seitdem durfte jeder mal ran weil man versucht hatte das ganze ohne Admin am laufen zu halten. nach einem Jahr hat man sich dann dafür entschieden, dass man doch besser auf einen Admin zurückgreift.
Der bin jetzt ich.
Grüße
im Firmennetzwerk bei uns sind ganz normale User einer GPO zugeteilt, diese jedoch verhält sich seltsamerweise unterschiedlich.
Es sind ca. 30 Clients im Netzwerk angemeldet bei ca 10 erscheint folgende Meldung wenn man z.B. die IP Adresse ändern möchte: IP Adresse ändern ist nur ein Beispiel - es geht um alle Administrativen Aufgaben
bei den anderen kommt das:
Erste Meldung ist für mich komplett neu diese kannte ich vorher noch nicht bewusst. Letzte ist die für mich gewohnte Meldung bei Arbeiten ohne Administrative Berechtigungen.
Die Benutzerkontensteuerung ist überall gleich konfiguriert, nur eben leider die Reaktion nicht.
Allgemein kann ich dazu noch sagen, dass es sogar Benutzer in der Domäne gibt welche mit identischen Rechten komplette Administrationsberechtigungen haben. Laut GPO's jedoch gleichgestellt sind.
Zum Verständnis: In der Firma gab es einen Admin der vor 15 Monaten gekündigt hatte. Seitdem durfte jeder mal ran weil man versucht hatte das ganze ohne Admin am laufen zu halten. nach einem Jahr hat man sich dann dafür entschieden, dass man doch besser auf einen Admin zurückgreift.
Der bin jetzt ich.
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 252270
Url: https://administrator.de/contentid/252270
Printed on: April 24, 2024 at 12:04 o'clock
9 Comments
Latest comment
Hi.
Das Verhalten mit den IPs ist erklärbar: wenn die UAC aus ist, kommt keine UAC-Abfrage, sondern nur "darfste nicht".
Das Verhalten mit den IPs ist erklärbar: wenn die UAC aus ist, kommt keine UAC-Abfrage, sondern nur "darfste nicht".
Allgemein kann ich dazu noch sagen, dass es sogar Benutzer in der Domäne gibt welche mit identischen Rechten komplette Administrationsberechtigungen haben.
Was soll das bedeuten? Sind diese Nutzer denn in der lokalen Admingruppe drin bzw. in Gruppen, die in dieser Admingruppe enthalten sind? Scheint so.
Ja leider ist die UAC nicht aus war eben auch mein ersten und auch einziger Gedanke dazu habe es an 3 Rechnern geprüft die UAC ist an.
Nein die paar Benutzer bei denen es so ist sind ebenfalls Domänenuser mit identischen GPO's wie alle anderen ohne Adminrechten.
Nein die paar Benutzer bei denen es so ist sind ebenfalls Domänenuser mit identischen GPO's wie alle anderen ohne Adminrechten.
Das kann nicht sein. Prüfe genauer.
Was passiert denn an diesen UAC-AN-Rechnern, wenn Du beispielsweise eine Datei direkt unter c: erstellen willst (Rechtsklick - neu) - wird das angeboten?
Was passiert, wenn Du in den taskplaner gehst - kommt da eine UAC Abfrage als Nutzer? Kommt eine als Admin?
Was passiert denn an diesen UAC-AN-Rechnern, wenn Du beispielsweise eine Datei direkt unter c: erstellen willst (Rechtsklick - neu) - wird das angeboten?
Was passiert, wenn Du in den taskplaner gehst - kommt da eine UAC Abfrage als Nutzer? Kommt eine als Admin?
die paar Benutzer bei denen es so ist sind ebenfalls Domänenuser mit identischen GPO
Lass die GPOs mal außen vor und prüfe den Inhalt der Admingruppe. Und gib genauere Antwort auf meine Frage nach der Bedeutung - was meinst Du mit "komplette Adminberechtigungen"? Weil - halbe gibt es eh nicht 
Hallo,
die können aber per Hand in die Logale Gruppe der Adinistratoren auf dem Rechner hinzugefügt worden sein.
GPO sind schön aber LSDOU gillt trozdem.
Und gerade wenn es eine Zeit gab in der jeder mal was machen durfte würd ich mich nicht drauf verlassen das keiner die Gruppen Lokal an Clients barbeitet hat.
Per GPO kannste zwar alles überschrieben, aber solange die GPO einen Eintrag als nicht konfiguriert ausliefert gilt das was die lokalen Richtlinien gerne hätten.
Gruß
Chonta
die können aber per Hand in die Logale Gruppe der Adinistratoren auf dem Rechner hinzugefügt worden sein.
GPO sind schön aber LSDOU gillt trozdem.
Und gerade wenn es eine Zeit gab in der jeder mal was machen durfte würd ich mich nicht drauf verlassen das keiner die Gruppen Lokal an Clients barbeitet hat.
Per GPO kannste zwar alles überschrieben, aber solange die GPO einen Eintrag als nicht konfiguriert ausliefert gilt das was die lokalen Richtlinien gerne hätten.
Gruß
Chonta
So habe bei allen betroffenen Rechnern mit dem Lokaladministrator die UAC Deaktiviert-Aktiviert und dazwischen neu gestartet - jetzt scheint es wirklich zu gehen .... Danke - Hatte nach Reaktivierung keinen Reboot gemacht. - UAC Problem scheint gelöst.
Das mit dem Admin aber nicht:
Du meinst den Inhalt der Lokalen Admingruppe am Client? Also das ein Domänenbenutzer der lokalen Admingruppe zugeteilt wurde?
Ich meine einfach nur Adminberechtigung - war nur schlecht formuliert ;)
OK werde ich auch in der Mittagspause prüfen wenn die Rechner frei sind sonst mach ich mir hier noch Feinde
Ich dachte immer die GPO überschreiben alles andere -.-
Das mit dem Admin aber nicht:
Du meinst den Inhalt der Lokalen Admingruppe am Client? Also das ein Domänenbenutzer der lokalen Admingruppe zugeteilt wurde?
Ich meine einfach nur Adminberechtigung - war nur schlecht formuliert ;)
OK werde ich auch in der Mittagspause prüfen wenn die Rechner frei sind sonst mach ich mir hier noch Feinde
Ich dachte immer die GPO überschreiben alles andere -.-
Hallo,
Computerverwaltung > PC auswählen > System>Lokale Benutzer und Gruppen
Musst nicht von deiner WS weg
Ja GPO überschrieben alles andere, ABER nur wenn etwas gesetzt wird! Wenn in einer GPO steht nicht Kinfiguriert aber in der Lokalenrichtlinie steht HansPeterMaier dürfen, dann Dürfen die das solange bist in der GPO an selber Stelle gesagt wird Nur Hans darf, dann ist der Rest draußen.
Ein nicht Konfiguriert in einer GPO bedeutet wird nicht verarbeitet und im Normalfall bedeutet das Default werte, wenn diese aber durch wo anders gesetzt werden geht das die GPO nix an.
Gruß
Chonta
Computerverwaltung > PC auswählen > System>Lokale Benutzer und Gruppen
Musst nicht von deiner WS weg
Ja GPO überschrieben alles andere, ABER nur wenn etwas gesetzt wird! Wenn in einer GPO steht nicht Kinfiguriert aber in der Lokalenrichtlinie steht HansPeterMaier dürfen, dann Dürfen die das solange bist in der GPO an selber Stelle gesagt wird Nur Hans darf, dann ist der Rest draußen.
Ein nicht Konfiguriert in einer GPO bedeutet wird nicht verarbeitet und im Normalfall bedeutet das Default werte, wenn diese aber durch wo anders gesetzt werden geht das die GPO nix an.
Gruß
Chonta
Leider muss ich doch weg weil Remote leider nicht funktioniert ... da stimmen die GPO's wieder nicht bzw. die Snap-In's fehlen...
Gruß,
dann per GPO die Remotregistry / Remotverwaltung einschalten (zumindest Remoteverwaltung)
Gruß
Chonta
dann per GPO die Remotregistry / Remotverwaltung einschalten (zumindest Remoteverwaltung)
Gruß
Chonta
Welcher Dienst ist das genau will hier nix schlimmer machen als es eh schon ist - habe es in der Mittagspause am Platz gemacht und Ihr hattet recht der Nutzer war lokal als Admin eingetragen.
Prinzipiell ist alles erledigt nur das mit dem Remote hätte ich für die Zukunft schon gerne
Prinzipiell ist alles erledigt nur das mit dem Remote hätte ich für die Zukunft schon gerne
