Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Adminkonten auf W2K3-Server verlieren Rechte

Frage Microsoft Windows Server

Mitglied: aes0p.

aes0p. (Level 1) - Jetzt verbinden

14.12.2011 um 17:37 Uhr, 2910 Aufrufe, 6 Kommentare

Nach Installation von Updates oder Software und anschließendem Neustart
verlieren sowohl der lokale Admin, als auch der Domänenadmin Rechte auf einem Applikationsserver
auf Basis von Windows Server 2003

Hallo liebe Administratoren,

in der Hoffnung jemand kann mir hier weiterhelfen schreibe ich diese Zeilen. Ich stehe vor folgendem Problem:
1. Ich habe eine alte Windows Server 2003-AD-Infrastruktur übernommen und bin dabei mich auf diesem Gebiet einzuarbeiten.

2. Das eigentliche Problem mit kleiner Beschreibung der Umgebung:

2 Domänencontroller mit AD auf Basis von W2K3 SP2
u. a. 2 Applikationsserver mit Citrix Presentation Server, ebenfalls W2K3 SP2 (User melden sich über Citrix-Software an den Applikationsservern an).

Auf den Applikationsservern existiert ein lokales Adminkonto, im AD in der Domäne ebenfalls. Seit kurzem stehe ich vor dem Problem,
dass nach der Installation von Windows-Updates, oder schlicht Update des Flash-Players auf einem der Applikationsserver nach einem Neustart
des Servers sämtliche Rechte des lokalen und des Domänenadmins weg sind (egal ob ich als lokaler oder als Domänenadmin gearbeitet habe). Es fehlt z. B. der Eintrag der Systemsteuerung im Startmenü. Wenn ich
über Ausführen - "control" starte, erhalte ich zwar das Fenster der Systemsteuerung, jedoch keine Elemente! Auf einem der Applikationsserver existiert auf dem Desktop noch eine Verknüpfung zum Systemsteuerungselement "Software", wenn ich dieses ausführe, erhalte ich die Meldung, über unzureichende Rechte - ich soll mich an den Systemadministrator wenden. Lösung war beim letzten mal ein Backup- ich möchte diesmal den Fehler sauber beheben. Kann mir evtl. jemand einen Tipp geben wo ich hier ansetzen muss um das Problem in den Griff zu bekommen? Wenn noch weitere Infos nötig sind, bitte lasst es mich wissen.
Mitglied: HubertN
14.12.2011 um 19:30 Uhr
Moin

Da es sich bei den Servern um Terminalserver handelt, gehe ich davon aus, dass für die Server eine Terminalserver Gruppenrichtlinie aktiv ist und die Übernahme für den Admin nicht verhindert wird.

Checke also mal die Einstelllungen in der Gruppenrichlinienverwaltungskonsole

Gruß

Hubert
Bitte warten ..
Mitglied: aes0p.
15.12.2011 um 09:10 Uhr
Hallo Hubert,
ich habe eine Terminalserverrichtlinie gefunden. Dort sind die Domänen-Administratoren unter Sicherheitsfilterung nicht aufgeführt - die GPO wird also für Admins nicht angewandt.

Ich habe mal mein Domänenadminprofil serverseitig gelöscht (die Profile werden über Samba zur Verfügung gestellt). Bei der nächsten Anmeldung an einem der Applikationsserver wird ja das Profil neu angelegt.
Jetzt kann ich plötzlich wieder auf die Systemsteuerung zugreifen - über das Startmenü. Leider erhalte ich noch immer die Meldung beim Versuch Software zu deinstallieren: "Es bestehen Einschränkungen für die Installation bzw. Deinstallation von Software. Wenden Sie sich an den Systemadministrator."

...
Bitte warten ..
Mitglied: HubertN
15.12.2011 um 11:51 Uhr
Hallo ???

Wer ist denn dort aufgeführt ? Per default wird die Richtlinie auf "Authentifizierte Benutzer" angewendet - da ist auch der Admin mit von der Partie.

Die Übernahme der Richtlinie muss eingestellt sein auf die Terminalserverbenutzer und die Terminalserver selbst.

Gruß

Hubert
Bitte warten ..
Mitglied: aes0p.
15.12.2011 um 12:17 Uhr
Dort sind nur die Terminalservernutzer aufgeführt. Diese sind im AD in drei Gruppen unterteilt, die Admins sind dort definitiv nicht drin! Mein vorgänger hat die Terminalserver dort nicht drin, stattdessen wendet er einen WMI-Filter an, der die Terminalserver selektiert auf denen die Richtlinie Angewendet werden soll - kann hier leider keine Screenshots posten. Mehr Details kann ich via Mail zusenden wenn gewünscht.
Ich bin einen kleinen Schritt weitergekommen: unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall sind ALLE Einträge (z. B. "NoAddRemovePrograms") auf "1" - also aktiv gesetz!!! Ich habe alles auf "0" gestellt und plopp, jetzt komme ich ans appwiz.cpl über die Systemsteuerung ohne die genannte Meldung ... ???! Mann das ist so verkorkst und ich bin noch ein Anfänger ... Hilfe
Bitte warten ..
Mitglied: HubertN
15.12.2011 um 18:06 Uhr
Vielleicht hat da auch jemand manuell auf den Servern irgendwelche Einstellungen getätigt. Solls ja auch schon gegeben haben. Das istd ann natürlich ohne Dokunentation kaum noch nachvollziehbar...

Erstelle doch mal in der Gruppenrichtlinienkonsole einen Ergebnissatz für den Admin und schaue, was da so bei rauskommt.

Was das mit dem WMI-Filter soll, kann ich irgendwie nicht nachvollziehen. Da scheint dein Vorgänger sein eigenes Süppchen gekocht zu haben. Normalerweise erstellt man für die TS eine eigene OU, erstellt dort eine Richtlnie und aktiviert in dieser im Computerteil die Loopbackverarbeitung damiot die im benutzerteil festgelegten Einstellungen übernommen werden. Unter Sicherheitsfilterung fügt man die Server und die Terminaluser hinzu. Das ist der normale Weg einen TS abzusichern.

Du kannst aber auch einfach mal temporär die Richtlinie deaktivieren und scheuen, was dabei raus kommt. So weißt du wenigstens, ob dein problem an der Richtlinie hängt

Gruß
Bitte warten ..
Mitglied: aes0p.
16.12.2011 um 11:58 Uhr
Werde ich beides mal machen. Ich danke dir für die Hilfe. Ich melde mich sobald ich etwas herausgefunden habe.
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Remoteverwaltung lokaler Adminkonten (13)

Frage von KidChino zum Thema Windows Userverwaltung ...

Vmware
VMs verlieren zufällig Netzwerkverbindung (3)

Frage von OniChan zum Thema Vmware ...

Netzwerkmanagement
Verliere Netzlaufwerke in unregelmäßigen abständen (11)

Frage von malkie zum Thema Netzwerkmanagement ...

Windows Netzwerk
gelöst Schnelle Hilfe gefragt - Active Directory Rechte übertragen (von Server zu Server) (14)

Frage von miscmike zum Thema Windows Netzwerk ...

Neue Wissensbeiträge
Entwicklung

Exploit Development

Anleitung von burhanudinn123 zum Thema Entwicklung ...

Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

(2)

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

(4)

Erfahrungsbericht von anteNope zum Thema Viren und Trojaner ...

Heiß diskutierte Inhalte
Netzwerkprotokolle
Leiten "dumme" Switches VLAN-Tags mit durch? (17)

Frage von coltseavers zum Thema Netzwerkprotokolle ...

Windows Server
Terminalserver starten willkürlich neu (12)

Frage von thaefliger zum Thema Windows Server ...

Batch & Shell
Batch zum suchen und verschieben von Verknüpfungen (12)

Frage von zeroblue2005 zum Thema Batch & Shell ...

Router & Routing
FTTH bzw FTTB Router (10)

Frage von ukulele-7 zum Thema Router & Routing ...