17
AD Gruppenmitgliedschaft wird nciht aktualisiert
Hallo
ich habe das Problem, dass ich meine User für ein paar Minuten zum Admin machen muss für einen Regeintrag.
Nun dachte ich die einfachste Lösung ist, die Nutzer kurz in die Gruppe Administratoren zu schieben, neu anmelden, Änderungen machen, und wieder raus aus der Gruppe.
Leider wird aber scheinbar die Administratoren Zuweisung nicht erkannt. Ich bekomme nach wie vor die Meldung "Bearbeiten der Registrierung durch Admin gesperrt"
Wir haben einen Windows 2003 Server als Domaincontroller und einen Windows 2008 R2 Terminalserver. Die problematische Anmeldung erfolgt auf dem TerminalServer.
Hoffe ich konnte mich verständlich machen und jemand hat eine Idee zur Lösung
Gruß
Julian
ich habe das Problem, dass ich meine User für ein paar Minuten zum Admin machen muss für einen Regeintrag.
Nun dachte ich die einfachste Lösung ist, die Nutzer kurz in die Gruppe Administratoren zu schieben, neu anmelden, Änderungen machen, und wieder raus aus der Gruppe.
Leider wird aber scheinbar die Administratoren Zuweisung nicht erkannt. Ich bekomme nach wie vor die Meldung "Bearbeiten der Registrierung durch Admin gesperrt"
Wir haben einen Windows 2003 Server als Domaincontroller und einen Windows 2008 R2 Terminalserver. Die problematische Anmeldung erfolgt auf dem TerminalServer.
Hoffe ich konnte mich verständlich machen und jemand hat eine Idee zur Lösung
Gruß
Julian
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 219627
Url: https://administrator.de/contentid/219627
Ausgedruckt am: 25.11.2024 um 14:11 Uhr
17 Kommentare
Neuester Kommentar
Hallo,
einen User zum Admin auf dem Terminal Server machen ist fragwürdig. Wieso machst es nicht über eine GPO?
wo liegt der Registry Key?
Ich habe auch schon einmal ein Script geschrieben, welches den User nicht in die Admin- Gruppe aufgenommen hat. Grund war das Betriebssystem. Manchmal heißt die Gruppe: Administratoren, manchmal Administrators,... Je nachdem mit was für einen Datenträger du installiert hast. Auch wenn du nur Administratoren siehst.
MfG Sven
einen User zum Admin auf dem Terminal Server machen ist fragwürdig. Wieso machst es nicht über eine GPO?
wo liegt der Registry Key?
Ich habe auch schon einmal ein Script geschrieben, welches den User nicht in die Admin- Gruppe aufgenommen hat. Grund war das Betriebssystem. Manchmal heißt die Gruppe: Administratoren, manchmal Administrators,... Je nachdem mit was für einen Datenträger du installiert hast. Auch wenn du nur Administratoren siehst.
MfG Sven
Sicherlich ist es fragwürdig, einen User zum Admin zu machen. Das ist aber ein anderes Problem, welches nicht sofort gelöst werden kann.
Die richtige Gruppe habe ich im AD ja gefunden aber dennoch haben die User nach dem neu anmelden keine Adminrechte
Die richtige Gruppe habe ich im AD ja gefunden aber dennoch haben die User nach dem neu anmelden keine Adminrechte
Moin.
Auf gar keinen Fall sollte man das so machen. Es gibt keinen Fall, der nicht anders zu lösen ware. Beschreib mal, wohin geschrieben wird und Du bekommst Hilfe.
Auf gar keinen Fall sollte man das so machen. Es gibt keinen Fall, der nicht anders zu lösen ware. Beschreib mal, wohin geschrieben wird und Du bekommst Hilfe.
Um was für einen Reg-Key handelt es sich?
Befindet sich die Gruppe auch lokal auf dem PC unter den Administratoren?
Befindet sich die Gruppe auch lokal auf dem PC unter den Administratoren?
Mein Vorschlag wäre WIN+R , cmd , runas /user:{deineDomain}\Administrator regedit , Passwort eingeben , Änderung selbst machen und regedit wieder schließen.
(Es geht auch regedit suchen und mit rechtsklick "Als Administrator ausführen")
Wenn du ne .reg Datei hast cmd als Administrator ausführen und die von dort aus starten.
Nicht den Benutzer im AD in die Admin Gruppe aufnehmen.
Wenn du es unbedingt machen willst mache ihn zum lokalen Administrator an dem Rechner.
Dennoch warum dein Benutzer nach dem Aufnehmen in die Administratorgruppe kein Admin ist kommt mir etwas komisch vor.
Entweder du hast ihn nur in eine OU Administratoren verschoben oder du hast ein Problem im AD.
Ersteres halte ich für wahrscheinlicher.
Wenn man möchte, dass ein Benutzer Administrator wird muss er in die entsprechende Benutzergruppe (Sicherheitsgruppe) im Standard heißt die "Domänen-Admins".
(Es geht auch regedit suchen und mit rechtsklick "Als Administrator ausführen")
Wenn du ne .reg Datei hast cmd als Administrator ausführen und die von dort aus starten.
Nicht den Benutzer im AD in die Admin Gruppe aufnehmen.
Wenn du es unbedingt machen willst mache ihn zum lokalen Administrator an dem Rechner.
Dennoch warum dein Benutzer nach dem Aufnehmen in die Administratorgruppe kein Admin ist kommt mir etwas komisch vor.
Entweder du hast ihn nur in eine OU Administratoren verschoben oder du hast ein Problem im AD.
Ersteres halte ich für wahrscheinlicher.
Wenn man möchte, dass ein Benutzer Administrator wird muss er in die entsprechende Benutzergruppe (Sicherheitsgruppe) im Standard heißt die "Domänen-Admins".
Also lokale PC's in dem Sinne gibt es nicht. Nur den 2003 Domaincontroller und einen 2008 Terminalserver. Verbindung erfolgt über RDP/Thinclient.
Ich hab in der Domain Benutzer und Gruppenverwaltung die Nutzer in die Gruppe Administratoren geschoben (im übrigen habe ich dort auch einen tatsächlichen Admin drin, der auf genau dem gleichen Weg Admin geworden ist. Allerdings schon vor Monaten).
Also irgendwas ist seltsam.
Zum Thema geht nicht anders:Unsere Software benötigt einmal die Adminrechte um in die Registrierung userspezifische Daten einzutragen. Was das 100% ist sagt mir in dem Softwarehaus keiner. Somit kann es auch nicht manuell nachgepflegt werden. Ich bekomme dort nur die Auskunft "Adminrechte müssen einmal her".
Ich denke es erübrigt sich auf diesem Weg eine Diskussion darüber zu halten, wie toll der Hersteller ist oder sinnfrei das vergeben des Adminstatus ist. Das bringt niemanden weiter, Das Problem ist und bleibt, der User bekommt keine Adminrechte, warum nicht? Den Punkt mit Administratoren und Domain-Admins werde ich nochmal prüfen.
Ich hab in der Domain Benutzer und Gruppenverwaltung die Nutzer in die Gruppe Administratoren geschoben (im übrigen habe ich dort auch einen tatsächlichen Admin drin, der auf genau dem gleichen Weg Admin geworden ist. Allerdings schon vor Monaten).
Also irgendwas ist seltsam.
Zum Thema geht nicht anders:Unsere Software benötigt einmal die Adminrechte um in die Registrierung userspezifische Daten einzutragen. Was das 100% ist sagt mir in dem Softwarehaus keiner. Somit kann es auch nicht manuell nachgepflegt werden. Ich bekomme dort nur die Auskunft "Adminrechte müssen einmal her".
Ich denke es erübrigt sich auf diesem Weg eine Diskussion darüber zu halten, wie toll der Hersteller ist oder sinnfrei das vergeben des Adminstatus ist. Das bringt niemanden weiter, Das Problem ist und bleibt, der User bekommt keine Adminrechte, warum nicht? Den Punkt mit Administratoren und Domain-Admins werde ich nochmal prüfen.
Zu Deiner Aufklärung:
Das Systemhaus hat (vermutlich) keine rechte Ahnung.
Der Admin darf überall hin schreiben. Er kann auch überall ins userprofil schreiben, selbst, wenn der Nutzer gar nicht angemeldet ist. Auf gar keinen Fall muss der User selbst Adminrechte bekommen für das, was das Syst.haus will.
Das Systemhaus hat (vermutlich) keine rechte Ahnung.
Der Admin darf überall hin schreiben. Er kann auch überall ins userprofil schreiben, selbst, wenn der Nutzer gar nicht angemeldet ist. Auf gar keinen Fall muss der User selbst Adminrechte bekommen für das, was das Syst.haus will.
grundsätzlich ist mir das klar. aber nunmal nicht zu ändern, da die Daten aus der Instanz des Users erzeugt werden und ich nicht zu hören bekomme was dort geschrieben werden soll.
Aber grundsätzlich kann ich ja auch den nicht zum Admin machen, der es tatsächlich sein soll, also mal abhängig von dem akuten Problem.
Aber grundsätzlich kann ich ja auch den nicht zum Admin machen, der es tatsächlich sein soll, also mal abhängig von dem akuten Problem.
Beschwer Dich zumindest über die armseligen Vorgehensweisen dieses Setups.
Zum Problem: die Nutzung von regedit ist gesperrt. Das hat mit Adminrechten zunächst nichts zu tun. Schau mal, welche GPO das macht, starte dafür rsop.msc am Client (oder am DC in der GPMC via GPO-Result)
Zum Problem: die Nutzung von regedit ist gesperrt. Das hat mit Adminrechten zunächst nichts zu tun. Schau mal, welche GPO das macht, starte dafür rsop.msc am Client (oder am DC in der GPMC via GPO-Result)
Kenne das Problem mit derartiger Software zu genüge. Hab auch so was im Hause. Da ist es oft der einzig mögliche Weg.
Ich habe allerdings keinen Terminalserver, daher weiß ich nicht wie das da ist.
Ich melde mich dann als Admin an das System an und füge in der Computerverwaltung den Domain-Benutzer zur Gruppe der lokalen Administratoren hinzu.
Starte die Software dann einmal als Benutzer, damit die Ihre Einstellungen schreiben kann und schmeiße dann sofort den Domain-Benutzer wieder aus der Gruppe der lokalen Administratoren raus.
Ich habe allerdings keinen Terminalserver, daher weiß ich nicht wie das da ist.
Ich melde mich dann als Admin an das System an und füge in der Computerverwaltung den Domain-Benutzer zur Gruppe der lokalen Administratoren hinzu.
Starte die Software dann einmal als Benutzer, damit die Ihre Einstellungen schreiben kann und schmeiße dann sofort den Domain-Benutzer wieder aus der Gruppe der lokalen Administratoren raus.
Hab ich schon. Mehr als einmal. Die haben da echt Nachholbedarf. Aber vom Setupproblem abgesehen ist die Software echt gut. Da gibt es leider nichts vergleichbares aufm Markt, dass unseren Vorstellungen entspricht.
So das Adminproblem hängt vermutlich tatsächlich damit zusammen, dass die User in der Administratoren-Gruppe und nciht in Domain-Admins drin waren.
Aber besser noch: Ich habe jemanden im Softwarehaus erreicht, der mir zumindest sagen konnte, was das Programm an der Stelle versucht, nämlich einfach nur eine .reg Datei auszuführen, welche auf der Platte liegt. Somit konnte ich die manuell öffnen und einpflegen.. alles gut.
Bleibt nur eine Frage:
Wenn in der .reg ein Eintrag ist:
[HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Word\Options]
"SQLSecurityCheck"=dword:00000000
"DefaultCPG"=dword:000004e2
Versteh ich das richtig, dass wenn ich das als Administrator eintragen lasse, dass dann alle User eigentlich erledigt sind? Oder muss dieser Eintrag für jeden gemacht werden? Ich dachte eigentlich, dass HKEY_CURRENT_USER normal einmal eingetragen wird und dann bei jedem user entsprechend gilt.
So das Adminproblem hängt vermutlich tatsächlich damit zusammen, dass die User in der Administratoren-Gruppe und nciht in Domain-Admins drin waren.
Aber besser noch: Ich habe jemanden im Softwarehaus erreicht, der mir zumindest sagen konnte, was das Programm an der Stelle versucht, nämlich einfach nur eine .reg Datei auszuführen, welche auf der Platte liegt. Somit konnte ich die manuell öffnen und einpflegen.. alles gut.
Bleibt nur eine Frage:
Wenn in der .reg ein Eintrag ist:
[HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Word\Options]
"SQLSecurityCheck"=dword:00000000
"DefaultCPG"=dword:000004e2
Versteh ich das richtig, dass wenn ich das als Administrator eintragen lasse, dass dann alle User eigentlich erledigt sind? Oder muss dieser Eintrag für jeden gemacht werden? Ich dachte eigentlich, dass HKEY_CURRENT_USER normal einmal eingetragen wird und dann bei jedem user entsprechend gilt.
Moin,
HKEY_CURRENT_USER ist immer DER AKTUELL ANGEMELDETE USER - und jeder user kann IN SEINEN EIGENEN HKEY_CURRENT_USER 'rein schreiben.
D.h. die og. Registry Änderung muss für jeden user separat, idealierweise per GPO/AnmeldeScript, getätigt werden. - Dazu braucht es keine Adminrechte, und schon gar keine Domain-Admin Rechte.
/EDIT:
bevor du an den Terminalserver ranlangst,.
lg,
Slainte
HKEY_CURRENT_USER ist immer DER AKTUELL ANGEMELDETE USER - und jeder user kann IN SEINEN EIGENEN HKEY_CURRENT_USER 'rein schreiben.
D.h. die og. Registry Änderung muss für jeden user separat, idealierweise per GPO/AnmeldeScript, getätigt werden. - Dazu braucht es keine Adminrechte, und schon gar keine Domain-Admin Rechte.
/EDIT:
HKEY_CURRENT_USER normal einmal eingetragen wird und dann bei jedem user entsprechend gilt.
Evtl. solltest Du mal deine (Englisch und) Windowskentnisse auffrischen bevor du an den Terminalserver ranlangst,.lg,
Slainte
1
ok d.h. ich muss es iwie schaffen, dass die user regedit starten können, damit die Einträge gemacht werden können, dann sollte alles funktionieren
Vielen Dank für die Hilfe
Vielen Dank für die Hilfe
ok d.h. ich muss es iwie schaffen, dass die user regedit starten können
Würde ich nicht tun.Der beste Weg ist die Erstellung/Änderung der Reg Werte per GPO oder per Anmeldescript mittels des Windows Tools "reg.exe"
Ups, wenn deine reg Datei in HKEY_CURRENT_USER schreibt funktioniert das nicht wenn du das wie oben von mir beschreiben als Administrator ausführst.
Dann greift der Eintrag auch nur beim Administrator. Denn der ist beim ausführen als Admin für diese Datei der current (aktuell angemeldete) user.
Auch wenn du ansonsten als Benutzer am System angemeldet bist.
Das ist aber kein Problem, den Standardmäßig hat jeder Benutzer das Recht unter HKEY_CURRENT_USER zu schreiben.
Also sollte auch ein Benutzer diesen Eintrag machen können.
Es gibt aber viele Dinge die das dennoch verhindern können.
z.B. GPOs die das ausführen von reg Dateien verhindern.
Mir Fallen da spontan zwei ein.
Software Restriction Policies (Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für Softwareeinschränkung)
DisableRegistryTools (Richtlinien -> Administrative Vorlagen -> System -> Zugriff auf Programme zum Bearbeiten der Registrierung verhindern)
Dann greift der Eintrag auch nur beim Administrator. Denn der ist beim ausführen als Admin für diese Datei der current (aktuell angemeldete) user.
Auch wenn du ansonsten als Benutzer am System angemeldet bist.
Das ist aber kein Problem, den Standardmäßig hat jeder Benutzer das Recht unter HKEY_CURRENT_USER zu schreiben.
Also sollte auch ein Benutzer diesen Eintrag machen können.
Es gibt aber viele Dinge die das dennoch verhindern können.
z.B. GPOs die das ausführen von reg Dateien verhindern.
Mir Fallen da spontan zwei ein.
Software Restriction Policies (Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für Softwareeinschränkung)
DisableRegistryTools (Richtlinien -> Administrative Vorlagen -> System -> Zugriff auf Programme zum Bearbeiten der Registrierung verhindern)
Hi
Und wenn du damit fertig bist kannst du dich gleich an ein neues Projekt schmeissen. Windows 2003 Server werden von Microsoft nicht mehr lange supportet. Am 14.07.2015 läuft der ab.
LG
Ach das ist mir reichlich egal. Der wird ja weiterhin funktionieren.
Ist dann auch nicht meine Baustelle. Für solche Sachen beauftrage ich einen Fachmann. Ich wollte nur die Einstellungen in unserer Software eintragen..
Ist dann auch nicht meine Baustelle. Für solche Sachen beauftrage ich einen Fachmann. Ich wollte nur die Einstellungen in unserer Software eintragen..
