14
Wie kann der Zugriff auf Gruppenrichtlinien für Standard-User über Adminpasswort-Abfrage ermöglicht werden?
Wir haben Notebooks für den Außendienst im Einsatz, die stark eingeschränkt sind. Um sie fernwarten zu können, muss ich Zugriff auf die Gruppenrichtlinien haben.
Hintergrund dieser Notwendigkeit ist, dass ich für eine Fernwartung (zur Nachinstallation von notwendiger Software oder von Druckern) bestimmte Gruppenrichtlinien kurzzeitig außer Kraft setzen muss. Bei einem Standard-user ist der Zugriff auf die Gruppenrichtlinien aber nicht möglich. Es taucht auch keine Adminpasswort-Abfrage auf. Gibt es eine Möglichkeit, letztere zu aktivieren?
Betriebssystem: Windows 7 Professional auf einem 64-bit System.
Gruß
Anne
[Nachtrag: dasselbe gilt übrigens für den Gerätemanager, auch hier wäre es schön, wenn man eine Passwort-Abfrage ermöglichen könnte...]
Betriebssystem: Windows 7 Professional auf einem 64-bit System.
Gruß
Anne
[Nachtrag: dasselbe gilt übrigens für den Gerätemanager, auch hier wäre es schön, wenn man eine Passwort-Abfrage ermöglichen könnte...]
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 148641
Url: https://administrator.de/contentid/148641
Printed on: April 23, 2024 at 20:04 o'clock
14 Comments
Latest comment
Hallo anne,
ich gehe davon aus, ihr habt eine Windows-Domäne und die PCs sind in dieser.
Du richtest die GPOs zentral per Gruppenrichtlinieneditor ein und verteilst diese über dein AD per Verknüpfung an die entsprechenden PCs/User (in OUs).
Somit bringt es überhaupt nichts, wenn du lokal am PC GPOs per gpedit.msc änderst. Diese lokalen Gruppenrichtlinien werden von denen aus der Domäne überschrieben, bzw. überhaupt nicht gezogen.
Wenn du aber per Fernzugriff Systemeinstellungen am Client ändern willst (welche nicht per GPO für alle verboten sind), dann kannst du das natürlich machen. Dafür gibt es doch die UAC.
Mit dem passenden Programm (wir nutzen den Teamviewer) kann man sich beim fernzusteuernden PC mit einer admin-Kennung anmelden und dann erhält man den UAC-Dialog, sobald systemrelevante Entscheidungen zu treffen sind.
UAC muss natürlich aktiviert sein.
ich gehe davon aus, ihr habt eine Windows-Domäne und die PCs sind in dieser.
Du richtest die GPOs zentral per Gruppenrichtlinieneditor ein und verteilst diese über dein AD per Verknüpfung an die entsprechenden PCs/User (in OUs).
Somit bringt es überhaupt nichts, wenn du lokal am PC GPOs per gpedit.msc änderst. Diese lokalen Gruppenrichtlinien werden von denen aus der Domäne überschrieben, bzw. überhaupt nicht gezogen.
Wenn du aber per Fernzugriff Systemeinstellungen am Client ändern willst (welche nicht per GPO für alle verboten sind), dann kannst du das natürlich machen. Dafür gibt es doch die UAC.
Mit dem passenden Programm (wir nutzen den Teamviewer) kann man sich beim fernzusteuernden PC mit einer admin-Kennung anmelden und dann erhält man den UAC-Dialog, sobald systemrelevante Entscheidungen zu treffen sind.
UAC muss natürlich aktiviert sein.
Die Notebooks sind nicht in der Domäne, weil sie auch nicht immer am Netzwerk hängen. Aus diesem Grund richte ich die GPOs lokal ein. Für die Fernwartung nutze ich auch TeamViewer.
Die UAC ist aktiviert, aber wenn ich versuche auf die GPOs zuzugreifen kommt einfach nur die Meldung, dass ich als User keinen Zugriff habe:
"Sie haben nicht die Berechtigung, diesen Vorgang auszuführen.
Details: Zugriff verweigert"
Bei der Installation von Software kommt die Passwortabfrage, aber wenn es um systemnahe Dinge geht wie GPOs, Gerätemanager oder Änderungen in der Registrierung, erhält der Nutzer keine Passwortabfrage. Macht auch Sinn, aber für eine Fernwartung wäre es gut, wenn sie sich einrichten ließe...
Gruß
-annne-
Die UAC ist aktiviert, aber wenn ich versuche auf die GPOs zuzugreifen kommt einfach nur die Meldung, dass ich als User keinen Zugriff habe:
"Sie haben nicht die Berechtigung, diesen Vorgang auszuführen.
Details: Zugriff verweigert"
Bei der Installation von Software kommt die Passwortabfrage, aber wenn es um systemnahe Dinge geht wie GPOs, Gerätemanager oder Änderungen in der Registrierung, erhält der Nutzer keine Passwortabfrage. Macht auch Sinn, aber für eine Fernwartung wäre es gut, wenn sie sich einrichten ließe...
Gruß
-annne-
Zitat von @annnew:
Die Notebooks sind nicht in der Domäne, weil sie auch nicht immer am Netzwerk hängen. Aus diesem Grund richte ich die
GPOs lokal ein. Für die Fernwartung nutze ich auch TeamViewer.
Ist zwar keine ausreichende Begründung, warum man die Geräte nicht in die Domäne aufnimmt. aber seis drum.Die Notebooks sind nicht in der Domäne, weil sie auch nicht immer am Netzwerk hängen. Aus diesem Grund richte ich die
GPOs lokal ein. Für die Fernwartung nutze ich auch TeamViewer.
Die UAC ist aktiviert, aber wenn ich versuche auf die GPOs zuzugreifen kommt einfach nur die Meldung, dass ich als User keinen
Zugriff habe:
"Sie haben nicht die Berechtigung, diesen Vorgang auszuführen.
Details: Zugriff verweigert"
Bei der Installation von Software kommt die Passwortabfrage, aber wenn es um systemnahe Dinge geht wie GPOs, Gerätemanager
oder Änderungen in der Registrierung, erhält der Nutzer keine Passwortabfrage. Macht auch Sinn, aber für eine
Fernwartung wäre es gut, wenn sie sich einrichten ließe...
Dann ist die UAC vielleicht falsch eingestellt. Schieberegler in den UAC-Einstellungen auf ganz oben und ein Neustart, das sollte reichen.Zugriff habe:
"Sie haben nicht die Berechtigung, diesen Vorgang auszuführen.
Details: Zugriff verweigert"
Bei der Installation von Software kommt die Passwortabfrage, aber wenn es um systemnahe Dinge geht wie GPOs, Gerätemanager
oder Änderungen in der Registrierung, erhält der Nutzer keine Passwortabfrage. Macht auch Sinn, aber für eine
Fernwartung wäre es gut, wenn sie sich einrichten ließe...
Die UAC ist bereits auf höchster Stufe eingestellt. Aber ohne Effekt... (habe alle Stufen durchprobiert)
Zitat von @annnew:
Die UAC ist bereits auf höchster Stufe eingestellt. Aber ohne Effekt... (habe alle Stufen durchprobiert)
Morgen Anne,Die UAC ist bereits auf höchster Stufe eingestellt. Aber ohne Effekt... (habe alle Stufen durchprobiert)
wenn du 'gpedit.msc' in die Suchleiste eingibst, erscheint kein UAC-DIalog, wenn du eine normale Installation startest, dann schon?
Richtig. Das war das Szenario.
Beim Aufrufen der GPOs und des Gerätemanagers erscheint kein UAC-Dialog, nur bei der Installation von Software.
Beim Aufrufen der GPOs und des Gerätemanagers erscheint kein UAC-Dialog, nur bei der Installation von Software.
Zitat von @annnew:
Richtig. Das war das Szenario.
Beim Aufrufen der GPOs und des Gerätemanagers erscheint kein UAC-Dialog, nur bei der Installation von Software.
Dann bitte als Admin anmelden einmal UAC ausschalten und neustarten. Hinterher nochmal UAC einschalten und Neustart.Richtig. Das war das Szenario.
Beim Aufrufen der GPOs und des Gerätemanagers erscheint kein UAC-Dialog, nur bei der Installation von Software.
Habe ich schon vergeblich versucht, nützt auch nichts.
Kommt eine UAC-Abfrage, wenn z.B. die Computerverwaltung aufgerufen wird?
Kann man lokal als admin angemeldet die GPOs bearbeiten?
Kann man lokal als admin angemeldet die GPOs bearbeiten?
In die Computerverwaltung kommt der Standarbenutzer ohne UAC-Dialog rein.
Jeglicher Änderungsversuch wird mit der Meldung "Zugriff verweigert" abgelehnt.
Beim Zugriff auf die GPOs kommt die Fehlermeldung
"Gruppenrichtlinienfehler: Sie haben nicht die Berechtigung, diesen Vorgang auszuführen.
Details: Zugriff verweigert"
Als lokaler Admin kann man alles problemlos bearbeiten, auch die GPOs.
Die Einstellung der Benutzerkontensteuerung habe ich auch geprüft, da ist alles in Ordnung
Jeglicher Änderungsversuch wird mit der Meldung "Zugriff verweigert" abgelehnt.
Beim Zugriff auf die GPOs kommt die Fehlermeldung
"Gruppenrichtlinienfehler: Sie haben nicht die Berechtigung, diesen Vorgang auszuführen.
Details: Zugriff verweigert"
Als lokaler Admin kann man alles problemlos bearbeiten, auch die GPOs.
Die Einstellung der Benutzerkontensteuerung habe ich auch geprüft, da ist alles in Ordnung
Zitat von @annnew:
Als lokaler Admin kann man alles problemlos bearbeiten, auch die GPOs.
Die Einstellung der Benutzerkontensteuerung habe ich auch geprüft, da ist alles in Ordnung
Klingt suspekt.Als lokaler Admin kann man alles problemlos bearbeiten, auch die GPOs.
Die Einstellung der Benutzerkontensteuerung habe ich auch geprüft, da ist alles in Ordnung
Denn auch der admin bekommt normalerweise einen UAC-Dialog, wenn er die GPOs bearbeiten will oder in die Computerverwaltung geht.
Ich würde weiterhin behaupten, dass UAC nicht korrekt läuft.
Ich habe es gerade auf anderen PCs getestet. Die UAC läuft wahrscheinlich wirklich nicht korrekt. Auf anderen PCs mit Win 7 und höchsten UAC-Einstellungen erscheint tatsächlich ein UAC-Dialog, wenn ich die GPOs öffne.
ABER: als Standard-User ohne Admin Recht erhalte ich auch unter diesen Umständen KEINEN UAC-Dialog sondern dieselbe Meldung wie bisher:
"Gruppenrichtlinienfehler: Sie haben nicht die Berechtigung, diesen Vorgang auszuführen.
Details: Zugriff verweigert"
Gibt es irgendwo noch eine versteckte GPO die dafür aktivieren könnte (abgesehen von den Sicherheitsoptionen in den lokalen Richtlinien)??
ABER: als Standard-User ohne Admin Recht erhalte ich auch unter diesen Umständen KEINEN UAC-Dialog sondern dieselbe Meldung wie bisher:
"Gruppenrichtlinienfehler: Sie haben nicht die Berechtigung, diesen Vorgang auszuführen.
Details: Zugriff verweigert"
Gibt es irgendwo noch eine versteckte GPO die dafür aktivieren könnte (abgesehen von den Sicherheitsoptionen in den lokalen Richtlinien)??
Zitat von @annnew:
Ich habe es gerade auf anderen PCs getestet. Die UAC läuft wahrscheinlich wirklich nicht korrekt. Auf anderen PCs mit Win 7
und höchsten UAC-Einstellungen erscheint tatsächlich ein UAC-Dialog, wenn ich die GPOs öffne.
Na also, dann melde dich lokal als admin an und schalte UAC aus. Danach Neustart und danach das selbe in die andere Richtung.Ich habe es gerade auf anderen PCs getestet. Die UAC läuft wahrscheinlich wirklich nicht korrekt. Auf anderen PCs mit Win 7
und höchsten UAC-Einstellungen erscheint tatsächlich ein UAC-Dialog, wenn ich die GPOs öffne.
ABER: als Standard-User ohne Admin Recht erhalte ich auch unter diesen Umständen KEINEN UAC-Dialog sondern dieselbe Meldung
wie bisher:
"Gruppenrichtlinienfehler: Sie haben nicht die Berechtigung, diesen Vorgang auszuführen.
Details: Zugriff verweigert"
O.K.wie bisher:
"Gruppenrichtlinienfehler: Sie haben nicht die Berechtigung, diesen Vorgang auszuführen.
Details: Zugriff verweigert"
Gib bittte mit funktionierender UAC in die Suchleiste 'gpedit.msc' ein und dann startest du das Ergebnis per Rechtsklick und 'Als Administrator ausführen'. Schon kommt dein UAC-Dialog.
Gibt es irgendwo noch eine versteckte GPO die dafür aktivieren könnte (abgesehen von den Sicherheitsoptionen in den
lokalen Richtlinien)??
Nein, nicht das ich wüsste.lokalen Richtlinien)??
Das mit dem Neustart hatte ich schon ohne Erfolg versucht.
Aber Hinweis Nummer 2 funktioniert und hilft mir sehr weiter - danke!!
Aber Hinweis Nummer 2 funktioniert und hilft mir sehr weiter - danke!!
