Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Hauptbenutzern das Ändern der Systemzeit verbieten

Frage Microsoft Windows Server

Mitglied: teiomi

teiomi (Level 1) - Jetzt verbinden

05.03.2009, aktualisiert 11.03.2009, 7952 Aufrufe, 9 Kommentare

Hallo Helfende,

ich habe, wie einige andere auch, ein Problem mit der Systemzeit unserer Clients.
Wir haben verschiedene win2003 domaincontroller und viele xp-clients.

Unsere User sind Hauptbenutzer. (Dies muss auf Grund von unserer Rechtestruktur in verscheidenster Software so sein)

Problem ist das die User als Hauptbenutzer die Systemzeit verändern können.
Dies soll über eine Gruppenrichtlinie verboten werden.

Ich habe die anderen Beiträge hier und über google gelesen, jedoch bringt mich das nicht weiter.
unter der "Computer\Windows Einstellungen\Lokale RichtlinienZuweisen von Benutzerrechten\Ändern der Systemzeit" kann ich keine Rechte beschneiden!
Ich kann dort nur anderen Gruppen Rechte erteilen.

Gibt es eine Möglichkeit über die gpo das Ändern der Systemzeit zu verbieten?

Schon mal vorab vielen Dank für eure Posts.

Gruß Teiomi
Mitglied: 60730
05.03.2009 um 13:17 Uhr
Servus und willkommen im Club,

ich setze mal an dem Punkt an, der wirklich "stört" und nicht nur ein klitzekleines Symtom deines Problems ist:

Unsere User sind Hauptbenutzer. (Dies muss auf Grund von unserer Rechtestruktur in verscheidenster Software so sein)

Hier sind genügend gute Admins dabei, die dir helfen können - daß genau diese Zeile "Geschichte" sein kann.

Dazu mußt du nur (am besten in einem anderen Beitrag) deine Software aufzählen, für die "angeblich" Admin / Hauptbenutzerrechte notwendig sind.

Seit XP ist das mit den zuvielen Rechten nun wirklich nicht mehr nötig

Gruß
Bitte warten ..
Mitglied: HubertN
05.03.2009 um 13:39 Uhr
Was ich nicht so ganz daran verstehe ist, weshalb du in deinem konkreten Fall nicht die Hauptbenutzer an der genannten Stelle einfach entfernen kannst ?!
oder wieso du nicht eine neue Richtlinie definieren kannst ind er Adminsitratoren das Recht haben ???

Tatsächlich soltest du dir aber wirklich überlegen, wozu die User diese erweiterten Rechte benötigen. Da liegt kein Segen drin...
Bitte warten ..
Mitglied: teiomi
05.03.2009 um 14:16 Uhr
Hallo,

vorab danke für die Antworten.
Ich stimme euch komplett zu! Es ist definitiv der richtige Weg die struktur der Rechte zu überarbeiten und rechte zu "vergeben" anstatt alle zu erteilen und dann zu beschneiden.

Das Problem an dieser Geschichte sind die Kosten für die Firma.
Es wäre ein imenser Zeitaufwand diese Rechtestruktur umzustellen. Wir haben sehr viel Individiualsoftware im einsatz. Teilweise sind diese Tools aus den 90'gern.

wir sind in dem Team (dem ich angehöre) immer daran Sachen zu verändern und verbessern.

ABER: wir haben mit den Hauptbenutzern absolut keine Probleme. Eine Umstellung der Rechtestruktur ist nicht nur gefährlich sondern imens zeit und kostenaufwändig. Das Problem ist, dass wir genau jetzt einen Fall haben, wo ein Anwender auf die Idee kam Historieneinträge zu fälschen indem er die Systemzeit manipulierte.

Privat bei mir zuhause mache ich es bestimmt nicht auf diese weise, jedoch in nem Unternehmen mit ein paar hundert Clients ist das so ne sache.

Wir steuern dagegen an diese Struktur beizubehalten und stellen eins nach dem anderen um.

Für die Historienfälschung muss allerdings vorab eine schnelle Lösung gefunden werden. Diese ist meines erachtens die "beste" in dem man den Clients über Gpo die Änderung verbietet. Leider bekomme ich das für die Hauptbenutzer nicht hin und finde auch nichts im internet wie ich das machen könnte.

Es gibt doch bestimmt einen Regkey der genau das bewirkt. Diesen könnte man ja z.B. in eine Adm packen und als gpo veröffentlichen.

Könnt ihr mir da helfen?

Gruß Teiomi
Bitte warten ..
Mitglied: teiomi
10.03.2009 um 11:24 Uhr
Hallo Helfende,

hat hier jemand noch eine Idee?
Leider stecke ich fest und komme nicht weiter.

Gruß Teiomi
Bitte warten ..
Mitglied: 60730
10.03.2009 um 15:43 Uhr
Servus,

ok - aber dann nur - wenn du aus den Haputbenutzern in deiner Überschrift "Hautbenutzern" machst
Auch spätere "suchende" sollen dann was davon haben ;.-)
..und da ich "bekanntlich" weder bis 3 zählen kann - aber dennoch kleinlich bin

du brauchst zwei Dateien:

Time.inf
01.
[Unicode] 
02.
Unicode=yes 
03.
[Version] 
04.
signature="$CHICAGO$" 
05.
Revision=1 
06.
[Privilege Rights] 
07.
sesystemtimeprivilege = Administratoren
... die sollte "irgendwo" zentral liegen - bei mir in c:\script\time - siehe den Pfad hinter /db...... in der "runme.cmd"
runme.cmd
01.
secedit /configure /db C:\script\time /cfg time.inf /overwrite
die runme.cmd führst du aus - und testet dann gegen, ob es klappt.

  • denn wie HubertN schon schrieb - eigentlich kannst du auch Gruppen/ Benutzer herausnehmen.
Wenn es trotz dieser Anleitung und Schritte nicht klappt - dann mußt du leider nach der Nadel im Heuhaufen suchen - denn bei mir funktioniert obiges.

Gruß
Bitte warten ..
Mitglied: teiomi
11.03.2009 um 07:54 Uhr
Zitat von 60730:
Servus,

ok - aber dann nur - wenn du aus den
Haputbenutzern in deiner Überschrift
"Hautbenutzern" machst

Ob die Leute Hautbenutzer sind, steht ausser Frage, aber ^^ *kleiner scherz.

btw: danke für deine Hilfe. ich werde das heute mal versuchen und schreiben ob es geklappt hat.

Ps.: Was meint ihr mit "eigentlich kannst du auch Gruppen/ Benutzer herausnehmen"?
in der gpo unter: Lokale RichtlinienZuweisen von Benutzerrechten\Ändern der Systemzeit" die Hauptbenutzer rausnehmen? geht das denn? ich kann dort doch nur User zuweisen die das Recht bekommen sollen. Und nicht die Hauptbenutzer oder Admins entfernen?!

Gruß Teiomi
Bitte warten ..
Mitglied: teiomi
11.03.2009 um 11:35 Uhr
so, habe das den Morgen versucht.

1.) Er mag keine unc-Pfade. wollte die Scriptfiles gerne ins dfs legen. Jetzt liegen sie dann halt unter c:\Batch\

2.) Er bringt mir eine Meldung die ich mitt Ja oder Nein beantworten muss. geht das Silent?
Die Konfiguration des aktuellen Systems mit dieser Vorlage im /Overwrite-Modus wird zum Verlust der Sicherheitseinträge in der darangegebenen Datenbank führen, einschl. der Konfigurationseinträge. Möchten Sie diesen Vorgang fortsetzen? [J/N]

3.) hat nicht gefruchtet. Erbringt mit bei ner eingebauten "Pause" folgende Meldung:
Der Auftrag wurde mit einem Fehler abgeschlossen. Detaillierte Informationen befinden sich in der Protokolldatei %windir%\security\logs\scesrv.log.
in dem Ordner Logs gibt es die Logdatei leider nicht. alle Systemdateien und versteckten Dateien werden angezeigt.

Hast du eine Idee?

User ist Hauptbenutzer, das habe ich geprüft. Muss man das vllt als Admin ausführen? Kann der Hauptbenutzer, weil er eben Hauptbenutzer ist, dass Script vllt nicht ausführen?

Ich teste das mal. to be continued.

Gruß Teiomi
Bitte warten ..
Mitglied: teiomi
11.03.2009 um 11:54 Uhr
Das kommt in der scesrv.log, wenn ich die cmd als admin ausführe.

Mittwoch, 11. März 2009 11:44:28
Warnung 5: Zugriff verweigert
Die vorhandene interne Datenbank kann nicht gelöscht werden.
Fehler 80: Die Datei ist vorhanden.
Fehler beim Erstellen von database.
----Konfigurationsmodul wurde mit einem oder mehreren Fehlern initialisiert.----
----Konfigurationsmodul wird deinitialisiert...

gruß Teiomi
Bitte warten ..
Mitglied: 60730
11.03.2009 um 13:50 Uhr
Servus,

User ist Hauptbenutzer, das habe ich geprüft. Muss man das vllt als Admin ausführen?
Yupp - Admin - sollte schon sein.

geht das Silent?
Gib mal secedit unter ausführen ein - da findest du alle Schalter - du "suchst" /quiet

Warnung 5: Zugriff verweigert
Die vorhandene interne Datenbank kann nicht gelöscht werden.

Also hast du irgendwo etwas, das dich daran hindert - siehe auch:
ich kann dort doch nur User zuweisen die das Recht bekommen sollen.
Und nicht die Hauptbenutzer oder Admins entfernen?!

Denn das geht "normalerweise" problemlos.
Nimm noch mal einen anderen Client und melde dich da als Domainadmin an.

Gruß
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Server
gelöst Word 2010 : Absatz - Abstand per GPO ändern (3)

Frage von johanna-p zum Thema Windows Server ...

Entwicklung
Postfachgrößeneinstellung in SBS Konsole verbieten (5)

Frage von TommyDerWalker zum Thema Entwicklung ...

Exchange Server
Exchange 2013, Outlook 2010 Standard-Absendeadresse ändern (4)

Frage von ingoue zum Thema Exchange Server ...

E-Mail
gelöst GMail: Anzeige der Mailübersicht ändern (7)

Frage von honeybee zum Thema E-Mail ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...