5
Zugriff verweigert - Administratoraccount von Änderungen in gpedit.msc ausgeschlossen?
Moin!
Problemkurzfassung:
Administrator kann via gpedit.msc auf WinXP Professional-Plattform keinerlei Änderungen der Systemrichtlinien (im speziellen die Zugriffserlaubnis auf Systemsteuerung) vornehmen: Ergebnis ist immer "Zugriff verweigert".
Langfassung:
Die (insgesamt 40+) XP-Prof-Rechner befinden sich in einem domänenbasierten LAN. Domänencontroller ist ein Linux-Server mit aufgesetztem Samba zur File- und Accountverwaltung. Sämtliche Useraccounts werden also über die Domäne an- und abgemeldet, einzige Ausnahme hiervon ist (logischerweise) der jeweils lokal auf den Rechnern vorhandene Administratoraccount.
Da es sich um Arbeitsplatzrechner in einem Schulnetz handelt, wurde mittels der Gruppenrichtlinien der Zugriff auf Systemsteuerung, Taskmanager etcpepe unterbunden. Im speziellen die Richtlinie "Benutzerkonfiguration > Administrative Vorlagen > Systemsteuerung > Zugriff auf die Systemsteuerung nicht zulassen: aktiviert".
So weit, so gut. Da diese Richtlinie sämtliche Benutzer des Rechners einschliesslich des Administratoraccounts (sinnigerweise) betrifft, muss selbst der Admin-Account bei jeder Änderung der Einstellungen die Systemsteuerung nun erst einmal wieder freischalten. Das klappt bei 39 von 40 Rechnern auch ganz hervorragend - nur bei meinem Sorgenkind plötzlich nicht mehr. Dieser Rechner meldet bei versuchten Änderungen an dieser (oder auch testweise geänderter anderer) Richtlinien immer wieder aufs neue "Zugriff verweigert".
Kennt jemand dieses Problem und weis eine Lösung? Die einzige (suboptimale) Lösung, die mir derzeit einfällt lautet /format c:...
Grüße!
Problemkurzfassung:
Administrator kann via gpedit.msc auf WinXP Professional-Plattform keinerlei Änderungen der Systemrichtlinien (im speziellen die Zugriffserlaubnis auf Systemsteuerung) vornehmen: Ergebnis ist immer "Zugriff verweigert".
Langfassung:
Die (insgesamt 40+) XP-Prof-Rechner befinden sich in einem domänenbasierten LAN. Domänencontroller ist ein Linux-Server mit aufgesetztem Samba zur File- und Accountverwaltung. Sämtliche Useraccounts werden also über die Domäne an- und abgemeldet, einzige Ausnahme hiervon ist (logischerweise) der jeweils lokal auf den Rechnern vorhandene Administratoraccount.
Da es sich um Arbeitsplatzrechner in einem Schulnetz handelt, wurde mittels der Gruppenrichtlinien der Zugriff auf Systemsteuerung, Taskmanager etcpepe unterbunden. Im speziellen die Richtlinie "Benutzerkonfiguration > Administrative Vorlagen > Systemsteuerung > Zugriff auf die Systemsteuerung nicht zulassen: aktiviert".
So weit, so gut. Da diese Richtlinie sämtliche Benutzer des Rechners einschliesslich des Administratoraccounts (sinnigerweise) betrifft, muss selbst der Admin-Account bei jeder Änderung der Einstellungen die Systemsteuerung nun erst einmal wieder freischalten. Das klappt bei 39 von 40 Rechnern auch ganz hervorragend - nur bei meinem Sorgenkind plötzlich nicht mehr. Dieser Rechner meldet bei versuchten Änderungen an dieser (oder auch testweise geänderter anderer) Richtlinien immer wieder aufs neue "Zugriff verweigert".
Kennt jemand dieses Problem und weis eine Lösung? Die einzige (suboptimale) Lösung, die mir derzeit einfällt lautet /format c:...
Grüße!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 55782
Url: https://administrator.de/contentid/55782
Printed on: April 24, 2024 at 08:04 o'clock
5 Comments
Latest comment
Hast Du die Policy auf die Computer, oder auf die Benutzer angewendet?
(Sorry, aber einen Linux-Server als DC kenne ich nicht.)
(Sorry, aber einen Linux-Server als DC kenne ich nicht.)
Hast Du die Policy auf die Computer, oder auf
die Benutzer angewendet?
die Benutzer angewendet?
Mir ist der Sinn Deiner Frage nicht ganz klar. Das Setzen der Systemrichtlinie "Benutzerkonfiguration > Administrative Vorlagen > Systemsteuerung > Zugriff auf die Systemsteuerung nicht zulassen" gilt systemweit ab dem Zeitpunkt der Änderung und muss nicht extra "angewendet" werden.
Oder habe ich Dich da falsch verstanden?
"Benutzerkonfiguration >
Administrative Vorlagen > Systemsteuerung
> Zugriff auf die Systemsteuerung nicht
zulassen" gilt systemweit ab dem
Zeitpunkt der Änderung und muss nicht
extra "angewendet" werden.
Administrative Vorlagen > Systemsteuerung
> Zugriff auf die Systemsteuerung nicht
zulassen" gilt systemweit ab dem
Zeitpunkt der Änderung und muss nicht
extra "angewendet" werden.
Machst Du das ganze via GPO? Wenn ja, macht die Frage sehr viel Sinn.
In der Managementkonsole (gpmc.msc) gibst Du an, ob Du a) die Policy gar nicht , b) nur auf Computer, c) nur auf Benutzer oder d) auf beide anwenden möchtest.
Wenn Du das ganze mit GPO machst, dann fügst Du in der Sicherheitsfilterung die Gruppe Domain User ein und wendest das ganze auf eine z.Bsp. OU an.
Das ganze jedenfalls ohne Linux-DC...
Und wenn Du das ganze auf jedem einzelnen Rechner machen solltest, ist Quatsch (meine Meinung, Sorry). Der Verwaltungsaufwand würde sich expotentiell erhöhen. Ausserdem ist die Möglichkeit Benutzer zu excluden, z.Bsp. den Administrator, schwierig bis unmöglich.
Moin.
Mich hat leider über Ostern bis heute eine deftige Erkältung erwischt, so das ich erst jetzt wieder dazu komme, mich dem Problem weiter zu widmen.
Ich hab die Administration von jemand anderem übernommen, und ja, leider läuft die GPo-Verwaltung hier bisher tatsächlich Rechnerbasiert und wird nicht zentral gesteuert. Darüber hinaus existiert auf den Rechnern keine gpmc.msc.
Die Änderungen werden bisher tatsächlich direkt über die GPo-Konsole gpedit.msc durchgeführt - und eben jene bietet keine Möglichkeiten, die Anwendung der Sicherheitsrichtlinien auf User / Rechner anzuwenden...
Any ideas?
Grüße!
Mich hat leider über Ostern bis heute eine deftige Erkältung erwischt, so das ich erst jetzt wieder dazu komme, mich dem Problem weiter zu widmen.
Ich hab die Administration von jemand anderem übernommen, und ja, leider läuft die GPo-Verwaltung hier bisher tatsächlich Rechnerbasiert und wird nicht zentral gesteuert. Darüber hinaus existiert auf den Rechnern keine gpmc.msc.
Die Änderungen werden bisher tatsächlich direkt über die GPo-Konsole gpedit.msc durchgeführt - und eben jene bietet keine Möglichkeiten, die Anwendung der Sicherheitsrichtlinien auf User / Rechner anzuwenden...
Any ideas?
Grüße!
Herzlich Willkommen zurück.
Falls Du eine Active Directory hast, kannst Du auch GPO's einstellen.
Unter dsa.msc gehst Du auf die OU Deiner Wahl, Properties, Group Policy und sagst "Add", konfigurierst das Teil und unter Security wendest Du es Schlussendlich auf z.Bsp. die Domain User an.
Damit wäre dann Dein Problem gelöst.
Die Managementkonsole für Gruppenrichtlinien (gpmc.msc) ist übrigens nicht standardmässig installiert (ist auch nur eine Vereinfachung und die Ansicht ist besser), man muss sie von M$ herunterladen.
Verwendest Du KEINE GPO's hast Du ein Problem...mit gpedit.msc geht es nicht. Mir ist leider auch keine Möglichkeit bekannt so etwas zu machen. In einer Windows-Umgebung gehört das halt dazu...
Trotzdem viel Glück...
Falls Du eine Active Directory hast, kannst Du auch GPO's einstellen.
Unter dsa.msc gehst Du auf die OU Deiner Wahl, Properties, Group Policy und sagst "Add", konfigurierst das Teil und unter Security wendest Du es Schlussendlich auf z.Bsp. die Domain User an.
Damit wäre dann Dein Problem gelöst.
Die Managementkonsole für Gruppenrichtlinien (gpmc.msc) ist übrigens nicht standardmässig installiert (ist auch nur eine Vereinfachung und die Ansicht ist besser), man muss sie von M$ herunterladen.
Verwendest Du KEINE GPO's hast Du ein Problem...mit gpedit.msc geht es nicht. Mir ist leider auch keine Möglichkeit bekannt so etwas zu machen. In einer Windows-Umgebung gehört das halt dazu...
Trotzdem viel Glück...
