Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Win7 lokale Admin-Rechte über GPO

Mitglied: Meierjo

Meierjo (Level 2) - Jetzt verbinden

02.07.2013 um 11:20 Uhr, 6074 Aufrufe, 14 Kommentare

Hallo

SBS 2011 Domäne, Win7 (64Bit) Clients. Auf dem DC wurde eine Gruppe "Domäne\Install-Recht" erfasst, in welcher Benutzer kurzzeitig hineingestellt werden können (zB um eine Software-Installation zu ermöglichen).
Die Gruppe "Domäne\Install-Recht" ist lokal der Gruppe Administratoren hinzugefügt

Dies hat die letzten Jahre gut funktioniert.

Nun funktioniert das bei einer einzelnen Workstation nicht mehr, bei 7 anderen immer noch tadellos.
Mir ist nicht bewusst, was da geändert wurde.

- Zugriffsrechte und Vererbungen verglichen
- Rechner aus Domäne entfernt, und wieder neu in Domäne aufgenommen
- Rechner in andere OU verschoben und wieder zurück (dazwischen mehrmals gpupdate /force und reboot des PC's)
- Gruppe "Domäne\Install-Recht" lokal aus der Admin-Gruppe entfernt und wieder hinzugefügt (ebenfalls gpupdate und reboot)

Leider soweit alles erfolglos.

Noch jemand eine Idee, wo man suchen könnte, bevor ich die ganze Workstation neu aufsetze??

Gruss Meierjo


Mitglied: manuel1985
02.07.2013 um 11:26 Uhr
Evtl andere GPOs, die das Recht aufheben?
Bitte warten ..
Mitglied: Meierjo
02.07.2013 um 11:29 Uhr
Hallo Manuel 1985

Danke für die fixe Antwort.

Kann ich mir nicht vorstellen, sonst würde es bei den anderen Workstations ja auch nicht funktionieren, oder??
Sind alle in derselben OU.

Gruss meierjo
Bitte warten ..
Mitglied: Ausserwoeger
02.07.2013 um 11:34 Uhr
Hi

Was steht den im Eventlog der Maschine ? wurde die GPO übernommen ???

Lg Andy
Bitte warten ..
Mitglied: Dirmhirn
02.07.2013 um 12:33 Uhr
Hi!

d.h. der User ist in der Gruppe, hat aber keine Admin-Rechte?
funktioniert's wenn du den User selbst in die Admin-Gruppe nimmst?
kannst du dich lokal als Admin anmelden?

bzgl GPOs ist gpresult auch ganz praktisch.

sg Dirm
Bitte warten ..
Mitglied: Meierjo
02.07.2013 um 13:37 Uhr
Zitat von Ausserwoeger:
Hi

Was steht den im Eventlog der Maschine ? wurde die GPO übernommen ???

Lg Andy

Hi Andy
Beim anwenden von gpupdate /force wird korrekt protokolliert:

Anwendungsprotokoll:
SceCli 1704 Die Sicherheitsrichtlinie in den Gruppenrichtlinienobjekten wurde erfolgreich angewendet.

Systemprotokoll
GroupPolicy 1503
Die Gruppenrichtlinieneinstellungen für den Benutzer wurden erfolgreich verarbeitet. Es wurden neue 3-Gruppenrichtlinienobjekte erkannt und angewendet.
GroupPolicy 1502
Die Gruppenrichtlinieneinstellungen für den Computer wurden erfolgreich verarbeitet. Es wurden neue 4-Gruppenrichtlinienobjekte erkannt und angewendet.

Es scheint also, als würde die GPO übernommen.

Was mich allerdings an dieser Stelle wundert, dass er jedesmal neue Gruppenrichtlinienobjekte findet und anwendet (ist mir erst jetzt aufgefallen)
Könnte das auf einen Fehler hindeuten??

Gruss meierjo
Bitte warten ..
Mitglied: Meierjo
02.07.2013 um 13:39 Uhr
Zitat von Dirmhirn:
Hi!

d.h. der User ist in der Gruppe, hat aber keine Admin-Rechte?
funktioniert's wenn du den User selbst in die Admin-Gruppe nimmst?
kannst du dich lokal als Admin anmelden?

bzgl GPOs ist gpresult auch ganz praktisch.

sg Dirm

Hi Dirm

Auch wenn ich den User selbst in die Admin-Gruppe nehme, dasselbe Ergebnis.
GPresult kenne ich, dort wird mir angezeigt, welche Gruppenrichtlinien angewandt werden. Diese habe ich mit einer funktionierenden Workstation verglichen --< Identisch

Gruss meierjo
Bitte warten ..
Mitglied: Dirmhirn
02.07.2013 um 13:51 Uhr
Hi!

kannst du die GPOs verwalten oder ist da jemand anders zuständig?
stimmen die mit gpresult überein?

mit gpupdate /force, werden ja immer alle neu angewendet, afaik.

Auch wenn ich den User selbst in die Admin-Gruppe nehme, dasselbe Ergebnis.
d.h. er hat keine Admin rechte auf der lokalen Maschine?

Der lokale Admin Account funktioniert noch? kannst du neue Lokale Admins hinzufügen? Was wurde in letzter Zeit auf dem Gerät gemacht, wer wurde zuletzt als Admin eingetragen?

hast du alle GPOs durchgeschaut oder gpresult per Skript verglichen?
da wär wir doch eine Admin-Recht-Klau GPO aufgefallen?!

sg Dirm
Bitte warten ..
Mitglied: Meierjo
02.07.2013, aktualisiert um 14:47 Uhr
Hallo Dirm

Die GPO's verwalte ich selbst. Ist nur eine kleine Domäne mit ~ 10 PC's.
Wenn ich die Ergebnisse von gpresult vergleiche, stimmen die überein.

Kann doch nicht sein, dass da eine "Admin-Recht-Klau-GPO" da ist, sonst wäre das ja bei den anderen Usern / PC's, bei denen die selben Grurili's angewendet werden, auch so.

Der lokale Admin Account funktioniert.
Wenn ich einen neuen Benutzer hinzufüge, und diesen der Gruppe Administratoren (lokal) hinzufüge, hat er auch keine Admin-Rechte,
zB keine Schreibrechte auf Root (Laufwerk c: ).

Gruss meierjo
Bitte warten ..
Mitglied: Ausserwoeger
03.07.2013 um 14:48 Uhr
Hi

Da bei der übernahme der Gpos auch die Lokalen Sicherheitsrichtlinen übernommen werden würde ich mir die Lokalen Sicherheitsrichtlinien anschauen einfach gpedit.msc ausführen und die Richtlinie durchschauen.

Unter Windows einstellungen, Sicherheitseinstellungen, Lokale Richtlinien
findest du den punkt Zuweisen von benutzerrechten

Möglicherweise ist hier etwas verstellt.
Falls du hier selbst nichts eingestellt hast kannst du diese Richtlinien auch wiederherstellen um wieder den Standard zu haben.

http://support.microsoft.com/kb/313222/de

LG Andy
Bitte warten ..
Mitglied: Meierjo
03.07.2013 um 15:19 Uhr
Hallo Andy

Sehr guter Hinweis, danke. Auf die Idee wär eich nie gekommen.

Habe mal Zuweisen von Benutzerrechten auf 2 verschiedenen PC's verglichen, da sind einige Unterschiede. Werde mir die Unterschiede mal genau anschauen, und veruchen, beide PC's auf den selben stand zu bringen.

ZB unter "lokal anmelden verweigern" ist ein Benutzer mit *S-1-5-21-1195156701-2440043727-4241708903-1006 eintragen. Ist das eine unbekannte (alte) Benutzer-ID?? Kann die entfernt / gelöscht werden??

Gruss meierjo
Bitte warten ..
Mitglied: Ausserwoeger
03.07.2013 um 16:09 Uhr
Zitat von Meierjo:
ZB unter "lokal anmelden verweigern" ist ein Benutzer mit *S-1-5-21-1195156701-2440043727-4241708903-1006 eintragen. Ist
das eine unbekannte (alte) Benutzer-ID?? Kann die entfernt / gelöscht werden??


Hi

Das ist eine SID eines Benutzers der im AD nicht mehr vorhanden ist. Da es den benutzer bereits nicht mehr gibt wirst du diesen entfernen können.

LG Andy
Bitte warten ..
Mitglied: Meierjo
04.07.2013, aktualisiert um 13:45 Uhr
Hallo Andy

Habe die lokalen Sicherheitsrichtlinien mit einem "funktionierenden PC" abgeglichen --> kein Erfolg
Rechner nochmals aus der Domäne genommen, und neu aufgenommen --> gpupdate --> mehrmaliges Rebooten --> keine Besserung

Dann mittels secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb die Sicherheitseinstellungen lokal zurückgestzt --> hat einige Fehlermeldungen ausgeworfen

*

Warnung 5: Zugriff verweigert Fehler beim Einstellen der Sicherheit auf machine\software\classes.
Warnung 5: Zugriff verweigert Fehler beim Einstellen der Sicherheit auf machine\software\microsoft\windows.
Warnung 5: Zugriff verweigert Fehler beim Einstellen der Sicherheit auf machine\software\microsoft\windows\currentversion.

Konfiguration der Registrierungsschlüssel wurde erfolgreich abgeschlossen.

----Dateisicherheit wird konfiguriert...
Konfigurieren von c:\program files\common files\speechengines\microsoft\tts.
Warnung 2: Das System kann die angegebene Datei nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\program files\common files\speechengines\microsoft\tts.
Konfigurieren von c:\programdata\microsoft\windows\drm.
Konfigurieren von c:\programdata\microsoft\windows\drm\cache.
Konfigurieren von c:\windows\repair\default.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\default.
Konfigurieren von c:\windows\repair\ntuser.dat.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\ntuser.dat.
Konfigurieren von c:\windows\repair\sam.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\sam.
Konfigurieren von c:\windows\repair\security.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\security.
Konfigurieren von c:\windows\repair\software.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\software.
Konfigurieren von c:\windows\repair\system.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\system.
Konfigurieren von c:\windows\system32\windows media.
Warnung 2: Das System kann die angegebene Datei nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\system32\windows media.
Konfigurieren von c:\windows\syswow64\export.
Warnung 2: Das System kann die angegebene Datei nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\syswow64\export.
Konfigurieren von c:\windows\syswow64\ias.
Warnung 2: Das System kann die angegebene Datei nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\syswow64\ias.

Konfiguration der Dateisicherheit wurde erfolgreich abgeschlossen.



ebenfalls keine Besserung.


Noch eine Idee (ausser Format C: ??

Gruss meierjo
Bitte warten ..
Mitglied: Meierjo
08.07.2013 um 07:25 Uhr
Hallo

Nachdem leider keine Vorschläg mehr gekommen sind, habe ich das Problem gelöst, indem ich den PC neu aufgesetzt habe.

Danke für eure Mithilfe und Vorschläge

Gruss meierjo
Bitte warten ..
Mitglied: Ausserwoeger
08.07.2013 um 07:59 Uhr
Hi

Leider hatte ich keine zeit mehr zu schreiben. Allerdings war format C die schnellste lösung denke ich.

LG Andy
Bitte warten ..
Ähnliche Inhalte
Windows 7

Anwendung starten ohne lokale Admin-Rechte

gelöst Frage von MarkusVHWindows 720 Kommentare

Hallo zusammen, ich sitze jetzt schon länger vor einer kniffligen Aufgabe welche ich nicht so zu lösen bekomme wie ...

Windows 7

Win7 Domainbeitritt ohne lokalen Admin möglich?

gelöst Frage von mobby83Windows 721 Kommentare

Hallo, ich brauche bitte eure Hilfe. Gestern wollte ich einen PC klonen. Da es immer wieder Probleme verursacht, wenn ...

Windows Userverwaltung

Lokale Client Rechte mit dem Domänen Admin und dem Organisations Admin?

Frage von M.MarzWindows Userverwaltung2 Kommentare

Hallo zusammen, welche Gruppen haben alles Lokale Rechte an den Clients in der Domäne? Sind es die beiden o. ...

Windows Userverwaltung

GPO wird auf lokalen Admin-Account angewendet

gelöst Frage von rowmucWindows Userverwaltung2 Kommentare

Hallo, ich habe eine GPO erstellt, die unter anderem Laufwerke vom Explorer ausblendet. Diese GPO ist aktuell nur auf ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 1 TagHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 1 TagRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 2 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 2 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Sicherheit
Verbindliche Zustellung per E-Mail?
Frage von ahussainSicherheit18 Kommentare

Hallo allerseits, ein Kunde von mir nutzt intensiv Fax. Hauptgrund: zusammen mit einer Empfangsbestätigung ist eine verbindliche Zustellung gewährleistet. ...

Router & Routing
Mikrotik: Routing zwischen Interfaces mit Geräten ohne Gateway
Frage von TonLichtVideoRouter & Routing18 Kommentare

Hallo zusammen, ich komme aus dem Veranstaltungstechnik Bereich und habe zwei Netze um verschiedene Hardware zu Remoten. CONTROL1 192.168.1.0/24 ...

Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk14 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

SAN, NAS, DAS
Entscheidung SAN Dell oder HP
Frage von VincorSAN, NAS, DAS13 Kommentare

Hallo, wir wollen uns für unsere Hyper V Umgebung eine neue SAN Anschaffen. Es laufen 30 VM's darunter, DC; ...