Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Win7 lokale Admin-Rechte über GPO

Frage Microsoft Windows 7

Mitglied: Meierjo

Meierjo (Level 2) - Jetzt verbinden

02.07.2013 um 11:20 Uhr, 5615 Aufrufe, 14 Kommentare

Hallo

SBS 2011 Domäne, Win7 (64Bit) Clients. Auf dem DC wurde eine Gruppe "Domäne\Install-Recht" erfasst, in welcher Benutzer kurzzeitig hineingestellt werden können (zB um eine Software-Installation zu ermöglichen).
Die Gruppe "Domäne\Install-Recht" ist lokal der Gruppe Administratoren hinzugefügt

Dies hat die letzten Jahre gut funktioniert.

Nun funktioniert das bei einer einzelnen Workstation nicht mehr, bei 7 anderen immer noch tadellos.
Mir ist nicht bewusst, was da geändert wurde.

- Zugriffsrechte und Vererbungen verglichen
- Rechner aus Domäne entfernt, und wieder neu in Domäne aufgenommen
- Rechner in andere OU verschoben und wieder zurück (dazwischen mehrmals gpupdate /force und reboot des PC's)
- Gruppe "Domäne\Install-Recht" lokal aus der Admin-Gruppe entfernt und wieder hinzugefügt (ebenfalls gpupdate und reboot)

Leider soweit alles erfolglos.

Noch jemand eine Idee, wo man suchen könnte, bevor ich die ganze Workstation neu aufsetze??

Gruss Meierjo


Mitglied: manuel1985
02.07.2013 um 11:26 Uhr
Evtl andere GPOs, die das Recht aufheben?
Bitte warten ..
Mitglied: Meierjo
02.07.2013 um 11:29 Uhr
Hallo Manuel 1985

Danke für die fixe Antwort.

Kann ich mir nicht vorstellen, sonst würde es bei den anderen Workstations ja auch nicht funktionieren, oder??
Sind alle in derselben OU.

Gruss meierjo
Bitte warten ..
Mitglied: Ausserwoeger
02.07.2013 um 11:34 Uhr
Hi

Was steht den im Eventlog der Maschine ? wurde die GPO übernommen ???

Lg Andy
Bitte warten ..
Mitglied: Dirmhirn
02.07.2013 um 12:33 Uhr
Hi!

d.h. der User ist in der Gruppe, hat aber keine Admin-Rechte?
funktioniert's wenn du den User selbst in die Admin-Gruppe nimmst?
kannst du dich lokal als Admin anmelden?

bzgl GPOs ist gpresult auch ganz praktisch.

sg Dirm
Bitte warten ..
Mitglied: Meierjo
02.07.2013 um 13:37 Uhr
Zitat von Ausserwoeger:
Hi

Was steht den im Eventlog der Maschine ? wurde die GPO übernommen ???

Lg Andy

Hi Andy
Beim anwenden von gpupdate /force wird korrekt protokolliert:

Anwendungsprotokoll:
SceCli 1704 Die Sicherheitsrichtlinie in den Gruppenrichtlinienobjekten wurde erfolgreich angewendet.

Systemprotokoll
GroupPolicy 1503
Die Gruppenrichtlinieneinstellungen für den Benutzer wurden erfolgreich verarbeitet. Es wurden neue 3-Gruppenrichtlinienobjekte erkannt und angewendet.
GroupPolicy 1502
Die Gruppenrichtlinieneinstellungen für den Computer wurden erfolgreich verarbeitet. Es wurden neue 4-Gruppenrichtlinienobjekte erkannt und angewendet.

Es scheint also, als würde die GPO übernommen.

Was mich allerdings an dieser Stelle wundert, dass er jedesmal neue Gruppenrichtlinienobjekte findet und anwendet (ist mir erst jetzt aufgefallen)
Könnte das auf einen Fehler hindeuten??

Gruss meierjo
Bitte warten ..
Mitglied: Meierjo
02.07.2013 um 13:39 Uhr
Zitat von Dirmhirn:
Hi!

d.h. der User ist in der Gruppe, hat aber keine Admin-Rechte?
funktioniert's wenn du den User selbst in die Admin-Gruppe nimmst?
kannst du dich lokal als Admin anmelden?

bzgl GPOs ist gpresult auch ganz praktisch.

sg Dirm

Hi Dirm

Auch wenn ich den User selbst in die Admin-Gruppe nehme, dasselbe Ergebnis.
GPresult kenne ich, dort wird mir angezeigt, welche Gruppenrichtlinien angewandt werden. Diese habe ich mit einer funktionierenden Workstation verglichen --< Identisch

Gruss meierjo
Bitte warten ..
Mitglied: Dirmhirn
02.07.2013 um 13:51 Uhr
Hi!

kannst du die GPOs verwalten oder ist da jemand anders zuständig?
stimmen die mit gpresult überein?

mit gpupdate /force, werden ja immer alle neu angewendet, afaik.

Auch wenn ich den User selbst in die Admin-Gruppe nehme, dasselbe Ergebnis.
d.h. er hat keine Admin rechte auf der lokalen Maschine?

Der lokale Admin Account funktioniert noch? kannst du neue Lokale Admins hinzufügen? Was wurde in letzter Zeit auf dem Gerät gemacht, wer wurde zuletzt als Admin eingetragen?

hast du alle GPOs durchgeschaut oder gpresult per Skript verglichen?
da wär wir doch eine Admin-Recht-Klau GPO aufgefallen?!

sg Dirm
Bitte warten ..
Mitglied: Meierjo
02.07.2013, aktualisiert um 14:47 Uhr
Hallo Dirm

Die GPO's verwalte ich selbst. Ist nur eine kleine Domäne mit ~ 10 PC's.
Wenn ich die Ergebnisse von gpresult vergleiche, stimmen die überein.

Kann doch nicht sein, dass da eine "Admin-Recht-Klau-GPO" da ist, sonst wäre das ja bei den anderen Usern / PC's, bei denen die selben Grurili's angewendet werden, auch so.

Der lokale Admin Account funktioniert.
Wenn ich einen neuen Benutzer hinzufüge, und diesen der Gruppe Administratoren (lokal) hinzufüge, hat er auch keine Admin-Rechte,
zB keine Schreibrechte auf Root (Laufwerk c: ).

Gruss meierjo
Bitte warten ..
Mitglied: Ausserwoeger
03.07.2013 um 14:48 Uhr
Hi

Da bei der übernahme der Gpos auch die Lokalen Sicherheitsrichtlinen übernommen werden würde ich mir die Lokalen Sicherheitsrichtlinien anschauen einfach gpedit.msc ausführen und die Richtlinie durchschauen.

Unter Windows einstellungen, Sicherheitseinstellungen, Lokale Richtlinien
findest du den punkt Zuweisen von benutzerrechten

Möglicherweise ist hier etwas verstellt.
Falls du hier selbst nichts eingestellt hast kannst du diese Richtlinien auch wiederherstellen um wieder den Standard zu haben.

http://support.microsoft.com/kb/313222/de

LG Andy
Bitte warten ..
Mitglied: Meierjo
03.07.2013 um 15:19 Uhr
Hallo Andy

Sehr guter Hinweis, danke. Auf die Idee wär eich nie gekommen.

Habe mal Zuweisen von Benutzerrechten auf 2 verschiedenen PC's verglichen, da sind einige Unterschiede. Werde mir die Unterschiede mal genau anschauen, und veruchen, beide PC's auf den selben stand zu bringen.

ZB unter "lokal anmelden verweigern" ist ein Benutzer mit *S-1-5-21-1195156701-2440043727-4241708903-1006 eintragen. Ist das eine unbekannte (alte) Benutzer-ID?? Kann die entfernt / gelöscht werden??

Gruss meierjo
Bitte warten ..
Mitglied: Ausserwoeger
03.07.2013 um 16:09 Uhr
Zitat von Meierjo:
ZB unter "lokal anmelden verweigern" ist ein Benutzer mit *S-1-5-21-1195156701-2440043727-4241708903-1006 eintragen. Ist
das eine unbekannte (alte) Benutzer-ID?? Kann die entfernt / gelöscht werden??


Hi

Das ist eine SID eines Benutzers der im AD nicht mehr vorhanden ist. Da es den benutzer bereits nicht mehr gibt wirst du diesen entfernen können.

LG Andy
Bitte warten ..
Mitglied: Meierjo
04.07.2013, aktualisiert um 13:45 Uhr
Hallo Andy

Habe die lokalen Sicherheitsrichtlinien mit einem "funktionierenden PC" abgeglichen --> kein Erfolg
Rechner nochmals aus der Domäne genommen, und neu aufgenommen --> gpupdate --> mehrmaliges Rebooten --> keine Besserung

Dann mittels secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb die Sicherheitseinstellungen lokal zurückgestzt --> hat einige Fehlermeldungen ausgeworfen

*

Warnung 5: Zugriff verweigert Fehler beim Einstellen der Sicherheit auf machine\software\classes.
Warnung 5: Zugriff verweigert Fehler beim Einstellen der Sicherheit auf machine\software\microsoft\windows.
Warnung 5: Zugriff verweigert Fehler beim Einstellen der Sicherheit auf machine\software\microsoft\windows\currentversion.

Konfiguration der Registrierungsschlüssel wurde erfolgreich abgeschlossen.

----Dateisicherheit wird konfiguriert...
Konfigurieren von c:\program files\common files\speechengines\microsoft\tts.
Warnung 2: Das System kann die angegebene Datei nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\program files\common files\speechengines\microsoft\tts.
Konfigurieren von c:\programdata\microsoft\windows\drm.
Konfigurieren von c:\programdata\microsoft\windows\drm\cache.
Konfigurieren von c:\windows\repair\default.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\default.
Konfigurieren von c:\windows\repair\ntuser.dat.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\ntuser.dat.
Konfigurieren von c:\windows\repair\sam.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\sam.
Konfigurieren von c:\windows\repair\security.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\security.
Konfigurieren von c:\windows\repair\software.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\software.
Konfigurieren von c:\windows\repair\system.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\system.
Konfigurieren von c:\windows\system32\windows media.
Warnung 2: Das System kann die angegebene Datei nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\system32\windows media.
Konfigurieren von c:\windows\syswow64\export.
Warnung 2: Das System kann die angegebene Datei nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\syswow64\export.
Konfigurieren von c:\windows\syswow64\ias.
Warnung 2: Das System kann die angegebene Datei nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\syswow64\ias.

Konfiguration der Dateisicherheit wurde erfolgreich abgeschlossen.



ebenfalls keine Besserung.


Noch eine Idee (ausser Format C: ??

Gruss meierjo
Bitte warten ..
Mitglied: Meierjo
08.07.2013 um 07:25 Uhr
Hallo

Nachdem leider keine Vorschläg mehr gekommen sind, habe ich das Problem gelöst, indem ich den PC neu aufgesetzt habe.

Danke für eure Mithilfe und Vorschläge

Gruss meierjo
Bitte warten ..
Mitglied: Ausserwoeger
08.07.2013 um 07:59 Uhr
Hi

Leider hatte ich keine zeit mehr zu schreiben. Allerdings war format C die schnellste lösung denke ich.

LG Andy
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows 7
Dataline Office benötigt zum starten Admin-Rechte (3)

Frage von ingoue zum Thema Windows 7 ...

Windows Userverwaltung
Domain Admin Rechte auf FileServer (3)

Frage von BlueShadow9 zum Thema Windows Userverwaltung ...

Windows 10
gelöst Bitlocker und Admin-Rechte (5)

Frage von quin83 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (24)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...