Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zugriff verweigert - Administratoraccount von Änderungen in gpedit.msc ausgeschlossen?

Frage Sicherheit Sicherheitsgrundlagen

Mitglied: CHiLi-HH

CHiLi-HH (Level 1) - Jetzt verbinden

04.04.2007, aktualisiert 06.01.2009, 14968 Aufrufe, 5 Kommentare

Moin!


Problemkurzfassung:
Administrator kann via gpedit.msc auf WinXP Professional-Plattform keinerlei Änderungen der Systemrichtlinien (im speziellen die Zugriffserlaubnis auf Systemsteuerung) vornehmen: Ergebnis ist immer "Zugriff verweigert".

Langfassung:
Die (insgesamt 40+) XP-Prof-Rechner befinden sich in einem domänenbasierten LAN. Domänencontroller ist ein Linux-Server mit aufgesetztem Samba zur File- und Accountverwaltung. Sämtliche Useraccounts werden also über die Domäne an- und abgemeldet, einzige Ausnahme hiervon ist (logischerweise) der jeweils lokal auf den Rechnern vorhandene Administratoraccount.

Da es sich um Arbeitsplatzrechner in einem Schulnetz handelt, wurde mittels der Gruppenrichtlinien der Zugriff auf Systemsteuerung, Taskmanager etcpepe unterbunden. Im speziellen die Richtlinie "Benutzerkonfiguration > Administrative Vorlagen > Systemsteuerung > Zugriff auf die Systemsteuerung nicht zulassen: aktiviert".

So weit, so gut. Da diese Richtlinie sämtliche Benutzer des Rechners einschliesslich des Administratoraccounts (sinnigerweise) betrifft, muss selbst der Admin-Account bei jeder Änderung der Einstellungen die Systemsteuerung nun erst einmal wieder freischalten. Das klappt bei 39 von 40 Rechnern auch ganz hervorragend - nur bei meinem Sorgenkind plötzlich nicht mehr. Dieser Rechner meldet bei versuchten Änderungen an dieser (oder auch testweise geänderter anderer) Richtlinien immer wieder aufs neue "Zugriff verweigert".



Kennt jemand dieses Problem und weis eine Lösung? Die einzige (suboptimale) Lösung, die mir derzeit einfällt lautet /format c:...

Grüße!
Mitglied: rubberduck
04.04.2007 um 15:47 Uhr
Hast Du die Policy auf die Computer, oder auf die Benutzer angewendet?
(Sorry, aber einen Linux-Server als DC kenne ich nicht.)
Bitte warten ..
Mitglied: CHiLi-HH
05.04.2007 um 11:58 Uhr
Hast Du die Policy auf die Computer, oder auf
die Benutzer angewendet?

Mir ist der Sinn Deiner Frage nicht ganz klar. Das Setzen der Systemrichtlinie "Benutzerkonfiguration > Administrative Vorlagen > Systemsteuerung > Zugriff auf die Systemsteuerung nicht zulassen" gilt systemweit ab dem Zeitpunkt der Änderung und muss nicht extra "angewendet" werden.

Oder habe ich Dich da falsch verstanden?
Bitte warten ..
Mitglied: rubberduck
05.04.2007 um 13:27 Uhr
"Benutzerkonfiguration >
Administrative Vorlagen > Systemsteuerung
> Zugriff auf die Systemsteuerung nicht
zulassen" gilt systemweit ab dem
Zeitpunkt der Änderung und muss nicht
extra "angewendet" werden.

Machst Du das ganze via GPO? Wenn ja, macht die Frage sehr viel Sinn.

In der Managementkonsole (gpmc.msc) gibst Du an, ob Du a) die Policy gar nicht , b) nur auf Computer, c) nur auf Benutzer oder d) auf beide anwenden möchtest.

Wenn Du das ganze mit GPO machst, dann fügst Du in der Sicherheitsfilterung die Gruppe Domain User ein und wendest das ganze auf eine z.Bsp. OU an.

Das ganze jedenfalls ohne Linux-DC...

Und wenn Du das ganze auf jedem einzelnen Rechner machen solltest, ist Quatsch (meine Meinung, Sorry). Der Verwaltungsaufwand würde sich expotentiell erhöhen. Ausserdem ist die Möglichkeit Benutzer zu excluden, z.Bsp. den Administrator, schwierig bis unmöglich.
Bitte warten ..
Mitglied: CHiLi-HH
12.04.2007 um 11:45 Uhr
Moin.

Mich hat leider über Ostern bis heute eine deftige Erkältung erwischt, so das ich erst jetzt wieder dazu komme, mich dem Problem weiter zu widmen.

Ich hab die Administration von jemand anderem übernommen, und ja, leider läuft die GPo-Verwaltung hier bisher tatsächlich Rechnerbasiert und wird nicht zentral gesteuert. Darüber hinaus existiert auf den Rechnern keine gpmc.msc.

Die Änderungen werden bisher tatsächlich direkt über die GPo-Konsole gpedit.msc durchgeführt - und eben jene bietet keine Möglichkeiten, die Anwendung der Sicherheitsrichtlinien auf User / Rechner anzuwenden...

Any ideas?


Grüße!
Bitte warten ..
Mitglied: rubberduck
12.04.2007 um 12:03 Uhr
Herzlich Willkommen zurück.

Falls Du eine Active Directory hast, kannst Du auch GPO's einstellen.
Unter dsa.msc gehst Du auf die OU Deiner Wahl, Properties, Group Policy und sagst "Add", konfigurierst das Teil und unter Security wendest Du es Schlussendlich auf z.Bsp. die Domain User an.
Damit wäre dann Dein Problem gelöst.
Die Managementkonsole für Gruppenrichtlinien (gpmc.msc) ist übrigens nicht standardmässig installiert (ist auch nur eine Vereinfachung und die Ansicht ist besser), man muss sie von M$ herunterladen.

Verwendest Du KEINE GPO's hast Du ein Problem...mit gpedit.msc geht es nicht. Mir ist leider auch keine Möglichkeit bekannt so etwas zu machen. In einer Windows-Umgebung gehört das halt dazu...

Trotzdem viel Glück...
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung!

(1)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...