Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Hauptbenutzern das Ändern der Systemzeit verbieten

Frage Microsoft Windows Server

Mitglied: teiomi

teiomi (Level 1) - Jetzt verbinden

05.03.2009, aktualisiert 11.03.2009, 8132 Aufrufe, 9 Kommentare

Hallo Helfende,

ich habe, wie einige andere auch, ein Problem mit der Systemzeit unserer Clients.
Wir haben verschiedene win2003 domaincontroller und viele xp-clients.

Unsere User sind Hauptbenutzer. (Dies muss auf Grund von unserer Rechtestruktur in verscheidenster Software so sein)

Problem ist das die User als Hauptbenutzer die Systemzeit verändern können.
Dies soll über eine Gruppenrichtlinie verboten werden.

Ich habe die anderen Beiträge hier und über google gelesen, jedoch bringt mich das nicht weiter.
unter der "Computer\Windows Einstellungen\Lokale RichtlinienZuweisen von Benutzerrechten\Ändern der Systemzeit" kann ich keine Rechte beschneiden!
Ich kann dort nur anderen Gruppen Rechte erteilen.

Gibt es eine Möglichkeit über die gpo das Ändern der Systemzeit zu verbieten?

Schon mal vorab vielen Dank für eure Posts.

Gruß Teiomi
Mitglied: 60730
05.03.2009 um 13:17 Uhr
Servus und willkommen im Club,

ich setze mal an dem Punkt an, der wirklich "stört" und nicht nur ein klitzekleines Symtom deines Problems ist:

Unsere User sind Hauptbenutzer. (Dies muss auf Grund von unserer Rechtestruktur in verscheidenster Software so sein)

Hier sind genügend gute Admins dabei, die dir helfen können - daß genau diese Zeile "Geschichte" sein kann.

Dazu mußt du nur (am besten in einem anderen Beitrag) deine Software aufzählen, für die "angeblich" Admin / Hauptbenutzerrechte notwendig sind.

Seit XP ist das mit den zuvielen Rechten nun wirklich nicht mehr nötig

Gruß
Bitte warten ..
Mitglied: HubertN
05.03.2009 um 13:39 Uhr
Was ich nicht so ganz daran verstehe ist, weshalb du in deinem konkreten Fall nicht die Hauptbenutzer an der genannten Stelle einfach entfernen kannst ?!
oder wieso du nicht eine neue Richtlinie definieren kannst ind er Adminsitratoren das Recht haben ???

Tatsächlich soltest du dir aber wirklich überlegen, wozu die User diese erweiterten Rechte benötigen. Da liegt kein Segen drin...
Bitte warten ..
Mitglied: teiomi
05.03.2009 um 14:16 Uhr
Hallo,

vorab danke für die Antworten.
Ich stimme euch komplett zu! Es ist definitiv der richtige Weg die struktur der Rechte zu überarbeiten und rechte zu "vergeben" anstatt alle zu erteilen und dann zu beschneiden.

Das Problem an dieser Geschichte sind die Kosten für die Firma.
Es wäre ein imenser Zeitaufwand diese Rechtestruktur umzustellen. Wir haben sehr viel Individiualsoftware im einsatz. Teilweise sind diese Tools aus den 90'gern.

wir sind in dem Team (dem ich angehöre) immer daran Sachen zu verändern und verbessern.

ABER: wir haben mit den Hauptbenutzern absolut keine Probleme. Eine Umstellung der Rechtestruktur ist nicht nur gefährlich sondern imens zeit und kostenaufwändig. Das Problem ist, dass wir genau jetzt einen Fall haben, wo ein Anwender auf die Idee kam Historieneinträge zu fälschen indem er die Systemzeit manipulierte.

Privat bei mir zuhause mache ich es bestimmt nicht auf diese weise, jedoch in nem Unternehmen mit ein paar hundert Clients ist das so ne sache.

Wir steuern dagegen an diese Struktur beizubehalten und stellen eins nach dem anderen um.

Für die Historienfälschung muss allerdings vorab eine schnelle Lösung gefunden werden. Diese ist meines erachtens die "beste" in dem man den Clients über Gpo die Änderung verbietet. Leider bekomme ich das für die Hauptbenutzer nicht hin und finde auch nichts im internet wie ich das machen könnte.

Es gibt doch bestimmt einen Regkey der genau das bewirkt. Diesen könnte man ja z.B. in eine Adm packen und als gpo veröffentlichen.

Könnt ihr mir da helfen?

Gruß Teiomi
Bitte warten ..
Mitglied: teiomi
10.03.2009 um 11:24 Uhr
Hallo Helfende,

hat hier jemand noch eine Idee?
Leider stecke ich fest und komme nicht weiter.

Gruß Teiomi
Bitte warten ..
Mitglied: 60730
10.03.2009 um 15:43 Uhr
Servus,

ok - aber dann nur - wenn du aus den Haputbenutzern in deiner Überschrift "Hautbenutzern" machst
Auch spätere "suchende" sollen dann was davon haben ;.-)
..und da ich "bekanntlich" weder bis 3 zählen kann - aber dennoch kleinlich bin

du brauchst zwei Dateien:

Time.inf
01.
[Unicode] 
02.
Unicode=yes 
03.
[Version] 
04.
signature="$CHICAGO$" 
05.
Revision=1 
06.
[Privilege Rights] 
07.
sesystemtimeprivilege = Administratoren
... die sollte "irgendwo" zentral liegen - bei mir in c:\script\time - siehe den Pfad hinter /db...... in der "runme.cmd"
runme.cmd
01.
secedit /configure /db C:\script\time /cfg time.inf /overwrite
die runme.cmd führst du aus - und testet dann gegen, ob es klappt.

  • denn wie HubertN schon schrieb - eigentlich kannst du auch Gruppen/ Benutzer herausnehmen.
Wenn es trotz dieser Anleitung und Schritte nicht klappt - dann mußt du leider nach der Nadel im Heuhaufen suchen - denn bei mir funktioniert obiges.

Gruß
Bitte warten ..
Mitglied: teiomi
11.03.2009 um 07:54 Uhr
Zitat von 60730:
Servus,

ok - aber dann nur - wenn du aus den
Haputbenutzern in deiner Überschrift
"Hautbenutzern" machst

Ob die Leute Hautbenutzer sind, steht ausser Frage, aber ^^ *kleiner scherz.

btw: danke für deine Hilfe. ich werde das heute mal versuchen und schreiben ob es geklappt hat.

Ps.: Was meint ihr mit "eigentlich kannst du auch Gruppen/ Benutzer herausnehmen"?
in der gpo unter: Lokale RichtlinienZuweisen von Benutzerrechten\Ändern der Systemzeit" die Hauptbenutzer rausnehmen? geht das denn? ich kann dort doch nur User zuweisen die das Recht bekommen sollen. Und nicht die Hauptbenutzer oder Admins entfernen?!

Gruß Teiomi
Bitte warten ..
Mitglied: teiomi
11.03.2009 um 11:35 Uhr
so, habe das den Morgen versucht.

1.) Er mag keine unc-Pfade. wollte die Scriptfiles gerne ins dfs legen. Jetzt liegen sie dann halt unter c:\Batch\

2.) Er bringt mir eine Meldung die ich mitt Ja oder Nein beantworten muss. geht das Silent?
Die Konfiguration des aktuellen Systems mit dieser Vorlage im /Overwrite-Modus wird zum Verlust der Sicherheitseinträge in der darangegebenen Datenbank führen, einschl. der Konfigurationseinträge. Möchten Sie diesen Vorgang fortsetzen? [J/N]

3.) hat nicht gefruchtet. Erbringt mit bei ner eingebauten "Pause" folgende Meldung:
Der Auftrag wurde mit einem Fehler abgeschlossen. Detaillierte Informationen befinden sich in der Protokolldatei %windir%\security\logs\scesrv.log.
in dem Ordner Logs gibt es die Logdatei leider nicht. alle Systemdateien und versteckten Dateien werden angezeigt.

Hast du eine Idee?

User ist Hauptbenutzer, das habe ich geprüft. Muss man das vllt als Admin ausführen? Kann der Hauptbenutzer, weil er eben Hauptbenutzer ist, dass Script vllt nicht ausführen?

Ich teste das mal. to be continued.

Gruß Teiomi
Bitte warten ..
Mitglied: teiomi
11.03.2009 um 11:54 Uhr
Das kommt in der scesrv.log, wenn ich die cmd als admin ausführe.

Mittwoch, 11. März 2009 11:44:28
Warnung 5: Zugriff verweigert
Die vorhandene interne Datenbank kann nicht gelöscht werden.
Fehler 80: Die Datei ist vorhanden.
Fehler beim Erstellen von database.
----Konfigurationsmodul wurde mit einem oder mehreren Fehlern initialisiert.----
----Konfigurationsmodul wird deinitialisiert...

gruß Teiomi
Bitte warten ..
Mitglied: 60730
11.03.2009 um 13:50 Uhr
Servus,

User ist Hauptbenutzer, das habe ich geprüft. Muss man das vllt als Admin ausführen?
Yupp - Admin - sollte schon sein.

geht das Silent?
Gib mal secedit unter ausführen ein - da findest du alle Schalter - du "suchst" /quiet

Warnung 5: Zugriff verweigert
Die vorhandene interne Datenbank kann nicht gelöscht werden.

Also hast du irgendwo etwas, das dich daran hindert - siehe auch:
ich kann dort doch nur User zuweisen die das Recht bekommen sollen.
Und nicht die Hauptbenutzer oder Admins entfernen?!

Denn das geht "normalerweise" problemlos.
Nimm noch mal einen anderen Client und melde dich da als Domainadmin an.

Gruß
Bitte warten ..
Ähnliche Inhalte
Windows 7
Lan verbindung Aktivieren verbieten und trotzdem Eigenschaften ändern
gelöst Frage von Florian86Windows 72 Kommentare

Hallo, ich habe ein Notebook welches einen Benutzer hat, der nur in der Gruppe Benutzer drin ist. Nun soll ...

Windows Server
Systemzeit wird Falsch eingestellt
gelöst Frage von DupsiiWindows Server1 Kommentar

Mahlzeit zusammen! Und zwar plagt mich folgendes Problem: Auf einem unsrerer 2008 Windows Server wird im Ereignisprotokoll ein Eintrag ...

Windows Server
Dateiendungen verbieten
gelöst Frage von MahagonWindows Server10 Kommentare

Moin, ich möchte aufgrund dessen, dass in der Branche in der ich arbeite viele Kunden mit einem Cryptovirus befallen ...

Linux Desktop
Kubuntu verstellt Systemzeit nach Verbindung zum WWW
Frage von ScrollerLinux Desktop8 Kommentare

Hi bei Dualboot von Kubuntu und Windows Hat Linux immer die Zeit im Bios um 2 Stunden nach hinten ...

Neue Wissensbeiträge
Linux

Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde

Information von Frank vor 1 StundeLinux6 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 1 TagBatch & Shell9 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 1 TagHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Heiß diskutierte Inhalte
Router & Routing
Zwei Netzwerke erstellen
Frage von bunteblumeRouter & Routing13 Kommentare

Hallo Zusammen, Ich möchte gerne ein backup von einem bestimmten Folder welcher auf dem Server regelmässig synchronisiert wird auf ...

Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...

Microsoft Office
Outlook Cache Mode Frage
Frage von GwaihirMicrosoft Office11 Kommentare

Hallo zusammen, bin gerade neu in der Firma und lerne hier einige neue Dinge kennen. Zum Beispiel, dass die ...

Windows Server
Windows Store Apps
gelöst Frage von PeterleBWindows Server11 Kommentare

Gibt es einen Weg, auf Windows Server 2016 Windows Store Apps wie zum Beispiel die HP Smart App zu ...