Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

AD Gruppenmitgliedschaft wird nciht aktualisiert

Frage Microsoft Windows Server

Mitglied: JulianOhm

JulianOhm (Level 1) - Jetzt verbinden

17.10.2013 um 08:57 Uhr, 2221 Aufrufe, 17 Kommentare, 1 Danke

Hallo

ich habe das Problem, dass ich meine User für ein paar Minuten zum Admin machen muss für einen Regeintrag.

Nun dachte ich die einfachste Lösung ist, die Nutzer kurz in die Gruppe Administratoren zu schieben, neu anmelden, Änderungen machen, und wieder raus aus der Gruppe.

Leider wird aber scheinbar die Administratoren Zuweisung nicht erkannt. Ich bekomme nach wie vor die Meldung "Bearbeiten der Registrierung durch Admin gesperrt"

Wir haben einen Windows 2003 Server als Domaincontroller und einen Windows 2008 R2 Terminalserver. Die problematische Anmeldung erfolgt auf dem TerminalServer.

Hoffe ich konnte mich verständlich machen und jemand hat eine Idee zur Lösung

Gruß
Julian
Mitglied: Mantigul
17.10.2013 um 09:00 Uhr
Hallo,

einen User zum Admin auf dem Terminal Server machen ist fragwürdig. Wieso machst es nicht über eine GPO?
wo liegt der Registry Key?

Ich habe auch schon einmal ein Script geschrieben, welches den User nicht in die Admin- Gruppe aufgenommen hat. Grund war das Betriebssystem. Manchmal heißt die Gruppe: Administratoren, manchmal Administrators,... Je nachdem mit was für einen Datenträger du installiert hast. Auch wenn du nur Administratoren siehst.

Mit freundlichen Grüßen Sven
Bitte warten ..
Mitglied: JulianOhm
17.10.2013 um 09:23 Uhr
Sicherlich ist es fragwürdig, einen User zum Admin zu machen. Das ist aber ein anderes Problem, welches nicht sofort gelöst werden kann.

Die richtige Gruppe habe ich im AD ja gefunden aber dennoch haben die User nach dem neu anmelden keine Adminrechte
Bitte warten ..
Mitglied: DerWoWusste
17.10.2013, aktualisiert um 09:39 Uhr
Moin.

Auf gar keinen Fall sollte man das so machen. Es gibt keinen Fall, der nicht anders zu lösen ware. Beschreib mal, wohin geschrieben wird und Du bekommst Hilfe.
Bitte warten ..
Mitglied: Mantigul
17.10.2013 um 09:39 Uhr
Um was für einen Reg-Key handelt es sich?
Befindet sich die Gruppe auch lokal auf dem PC unter den Administratoren?
Bitte warten ..
Mitglied: ganymed
17.10.2013, aktualisiert um 11:25 Uhr
Mein Vorschlag wäre WIN+R , cmd , runas /user:{deineDomain}\Administrator regedit , Passwort eingeben , Änderung selbst machen und regedit wieder schließen.
(Es geht auch regedit suchen und mit rechtsklick "Als Administrator ausführen")
Wenn du ne .reg Datei hast cmd als Administrator ausführen und die von dort aus starten.
Nicht den Benutzer im AD in die Admin Gruppe aufnehmen.
Wenn du es unbedingt machen willst mache ihn zum lokalen Administrator an dem Rechner.

Dennoch warum dein Benutzer nach dem Aufnehmen in die Administratorgruppe kein Admin ist kommt mir etwas komisch vor.
Entweder du hast ihn nur in eine OU Administratoren verschoben oder du hast ein Problem im AD.
Ersteres halte ich für wahrscheinlicher.
Wenn man möchte, dass ein Benutzer Administrator wird muss er in die entsprechende Benutzergruppe (Sicherheitsgruppe) im Standard heißt die "Domänen-Admins".
Bitte warten ..
Mitglied: JulianOhm
17.10.2013 um 11:37 Uhr
Also lokale PC's in dem Sinne gibt es nicht. Nur den 2003 Domaincontroller und einen 2008 Terminalserver. Verbindung erfolgt über RDP/Thinclient.

Ich hab in der Domain Benutzer und Gruppenverwaltung die Nutzer in die Gruppe Administratoren geschoben (im übrigen habe ich dort auch einen tatsächlichen Admin drin, der auf genau dem gleichen Weg Admin geworden ist. Allerdings schon vor Monaten).

Also irgendwas ist seltsam.

Zum Thema geht nicht anders:Unsere Software benötigt einmal die Adminrechte um in die Registrierung userspezifische Daten einzutragen. Was das 100% ist sagt mir in dem Softwarehaus keiner. Somit kann es auch nicht manuell nachgepflegt werden. Ich bekomme dort nur die Auskunft "Adminrechte müssen einmal her".

Ich denke es erübrigt sich auf diesem Weg eine Diskussion darüber zu halten, wie toll der Hersteller ist oder sinnfrei das vergeben des Adminstatus ist. Das bringt niemanden weiter, Das Problem ist und bleibt, der User bekommt keine Adminrechte, warum nicht? Den Punkt mit Administratoren und Domain-Admins werde ich nochmal prüfen.
Bitte warten ..
Mitglied: DerWoWusste
17.10.2013 um 11:44 Uhr
Zu Deiner Aufklärung:
Das Systemhaus hat (vermutlich) keine rechte Ahnung.
Der Admin darf überall hin schreiben. Er kann auch überall ins userprofil schreiben, selbst, wenn der Nutzer gar nicht angemeldet ist. Auf gar keinen Fall muss der User selbst Adminrechte bekommen für das, was das Syst.haus will.
Bitte warten ..
Mitglied: JulianOhm
17.10.2013 um 11:48 Uhr
grundsätzlich ist mir das klar. aber nunmal nicht zu ändern, da die Daten aus der Instanz des Users erzeugt werden und ich nicht zu hören bekomme was dort geschrieben werden soll.

Aber grundsätzlich kann ich ja auch den nicht zum Admin machen, der es tatsächlich sein soll, also mal abhängig von dem akuten Problem.
Bitte warten ..
Mitglied: DerWoWusste
17.10.2013 um 11:54 Uhr
Beschwer Dich zumindest über die armseligen Vorgehensweisen dieses Setups.
Zum Problem: die Nutzung von regedit ist gesperrt. Das hat mit Adminrechten zunächst nichts zu tun. Schau mal, welche GPO das macht, starte dafür rsop.msc am Client (oder am DC in der GPMC via GPO-Result)
Bitte warten ..
Mitglied: ganymed
17.10.2013 um 11:59 Uhr
Kenne das Problem mit derartiger Software zu genüge. Hab auch so was im Hause. Da ist es oft der einzig mögliche Weg.
Ich habe allerdings keinen Terminalserver, daher weiß ich nicht wie das da ist.
Ich melde mich dann als Admin an das System an und füge in der Computerverwaltung den Domain-Benutzer zur Gruppe der lokalen Administratoren hinzu.
Starte die Software dann einmal als Benutzer, damit die Ihre Einstellungen schreiben kann und schmeiße dann sofort den Domain-Benutzer wieder aus der Gruppe der lokalen Administratoren raus.
Bitte warten ..
Mitglied: JulianOhm
17.10.2013 um 12:02 Uhr
Hab ich schon. Mehr als einmal. Die haben da echt Nachholbedarf. Aber vom Setupproblem abgesehen ist die Software echt gut. Da gibt es leider nichts vergleichbares aufm Markt, dass unseren Vorstellungen entspricht.

So das Adminproblem hängt vermutlich tatsächlich damit zusammen, dass die User in der Administratoren-Gruppe und nciht in Domain-Admins drin waren.
Aber besser noch: Ich habe jemanden im Softwarehaus erreicht, der mir zumindest sagen konnte, was das Programm an der Stelle versucht, nämlich einfach nur eine .reg Datei auszuführen, welche auf der Platte liegt. Somit konnte ich die manuell öffnen und einpflegen.. alles gut.

Bleibt nur eine Frage:
Wenn in der .reg ein Eintrag ist:
[HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Word\Options]
"SQLSecurityCheck"=dword:00000000
"DefaultCPG"=dword:000004e2

Versteh ich das richtig, dass wenn ich das als Administrator eintragen lasse, dass dann alle User eigentlich erledigt sind? Oder muss dieser Eintrag für jeden gemacht werden? Ich dachte eigentlich, dass HKEY_CURRENT_USER normal einmal eingetragen wird und dann bei jedem user entsprechend gilt.
Bitte warten ..
Mitglied: SlainteMhath
17.10.2013, aktualisiert um 12:30 Uhr
Moin,

HKEY_CURRENT_USER ist immer DER AKTUELL ANGEMELDETE USER - und jeder user kann IN SEINEN EIGENEN HKEY_CURRENT_USER 'rein schreiben.

D.h. die og. Registry Änderung muss für jeden user separat, idealierweise per GPO/AnmeldeScript, getätigt werden. - Dazu braucht es keine Adminrechte, und schon gar keine Domain-Admin Rechte.

/EDIT:
HKEY_CURRENT_USER normal einmal eingetragen wird und dann bei jedem user entsprechend gilt.
Evtl. solltest Du mal deine (Englisch und) Windowskentnisse auffrischen bevor du an den Terminalserver ranlangst,.

lg,
Slainte
Bitte warten ..
Mitglied: JulianOhm
17.10.2013 um 12:39 Uhr
ok d.h. ich muss es iwie schaffen, dass die user regedit starten können, damit die Einträge gemacht werden können, dann sollte alles funktionieren

Vielen Dank für die Hilfe
Bitte warten ..
Mitglied: SlainteMhath
17.10.2013 um 12:43 Uhr
ok d.h. ich muss es iwie schaffen, dass die user regedit starten können
Würde ich nicht tun.

Der beste Weg ist die Erstellung/Änderung der Reg Werte per GPO oder per Anmeldescript mittels des Windows Tools "reg.exe"
Bitte warten ..
Mitglied: ganymed
17.10.2013 um 12:55 Uhr
Ups, wenn deine reg Datei in HKEY_CURRENT_USER schreibt funktioniert das nicht wenn du das wie oben von mir beschreiben als Administrator ausführst.
Dann greift der Eintrag auch nur beim Administrator. Denn der ist beim ausführen als Admin für diese Datei der current (aktuell angemeldete) user.
Auch wenn du ansonsten als Benutzer am System angemeldet bist.
Das ist aber kein Problem, den Standardmäßig hat jeder Benutzer das Recht unter HKEY_CURRENT_USER zu schreiben.
Also sollte auch ein Benutzer diesen Eintrag machen können.
Es gibt aber viele Dinge die das dennoch verhindern können.
z.B. GPOs die das ausführen von reg Dateien verhindern.
Mir Fallen da spontan zwei ein.
Software Restriction Policies (Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für Softwareeinschränkung)
DisableRegistryTools (Richtlinien -> Administrative Vorlagen -> System -> Zugriff auf Programme zum Bearbeiten der Registrierung verhindern)
Bitte warten ..
Mitglied: Ausserwoeger
18.10.2013, aktualisiert um 09:45 Uhr
Zitat von JulianOhm:

Wir haben einen Windows 2003 Server als Domaincontroller

Hi

Und wenn du damit fertig bist kannst du dich gleich an ein neues Projekt schmeissen. Windows 2003 Server werden von Microsoft nicht mehr lange supportet. Am 14.07.2015 läuft der ab.

LG
Bitte warten ..
Mitglied: JulianOhm
18.10.2013 um 11:17 Uhr
Ach das ist mir reichlich egal. Der wird ja weiterhin funktionieren.

Ist dann auch nicht meine Baustelle. Für solche Sachen beauftrage ich einen Fachmann. Ich wollte nur die Einstellungen in unserer Software eintragen..
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Userverwaltung
gelöst Gruppenmitgliedschaft einer AD Gruppe per cmd auslesen (2)

Frage von RamboJay zum Thema Windows Userverwaltung ...

Windows Server
AD Replikation zwischen untergeordneten Domäne zwingend? (1)

Frage von Gien-app zum Thema Windows Server ...

Windows Server
gelöst Laufwerkspfad wird nach GPO-Änderung nicht aktualisiert (4)

Frage von YotYot zum Thema Windows Server ...

Windows Server
AD DC Failover zeitintensiv und DHCP repliziert nicht (2)

Frage von JiggyLee zum Thema Windows Server ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...