dbox3
Goto Top

Benutzerkontensteuerung wird automatisch deaktiviert

Hallo Experten,
ich habe seit einigen Monaten ein Problem mit der UAC, das ich nicht lösen kann. Die Benutzerkontensteuerung wird auf dem DC (win2008 r2) und entsprechend auf den Clients (auch ganz frisch in der domaine installierten) immer wieder automatisch deaktiviert. Schalte ich sie manuell wieder ein, dauert es einige Minuten, dann wird sie wieder deaktiviert. Einstellungen in der Systemsteuerung/Wartungszenter, den Richtlinienverwaltung unter Computerconfiguration-Sicherhitseinstellungen-Locale Richtlinien-Sicherheitsoptionen und in der Registry gemäß der Empfehlung auf MS-Technet habe ich bereits überprüft.
Was kann ich sonst versuchen?
Danke

Content-ID: 226349

Url: https://administrator.de/forum/benutzerkontensteuerung-wird-automatisch-deaktiviert-226349.html

Ausgedruckt am: 24.12.2024 um 02:12 Uhr

Pjordorf
Pjordorf 10.01.2014 um 23:46:56 Uhr
Goto Top
Hallo,

Zitat von @dbox3:
Was kann ich sonst versuchen?
Du hast entweder
a: Ein Skript auf dein DC der alle paar Minuten (du hast "einige" Minuten nicht näher definiert, ergo dürfen wir schätzen wie lang dies ist) nachschaut ob die UAC Deaktiviert wurde und aktiviert diese wieder
b: Eine oder mehrere Gruppenrichtlinie(n) werden per Skript alle paar Minuten ausgeführt wo deine UAC geprüft und wieder deaktiviert wird
c: Ein andere Admin der dein tun überwacht und dann per Remote deine UAC wieder ausknippst
d: Ein Virus / Trojaner / Unerwünschtes Programm was deine UAC beobachtet und die dann wieder schlafen schickt. Dein Rechner gehört somit nicht mehr dir. Und da es sich auch noch um ein DC handelt .....

e: hat dieser Virus / Trojaner / Unerwünschtes Programm es geschafft sich eigene GPO's zu erstellen und anzuwenden oder sich heimlich mitverteilt wenn du neue Rechner aufsetzt damit dort der gleiche Unfug gemacht werden kann. Ein Virus / Trojaner / Unerwünschtes Programm nur auf einen Rechner ist ja langweilig. ..Die wollen auch ihren Spass.

Ich tippe ganz klar auf Alternative d: welche dann automatisch Alternative e: nach sich zieht.

Und sollte auf dein DC schon eine AV Lösung (keine Freeware bitte) drauf sein bzw. gewesen sein als du dir deinen heimlichen Verehrer eingefangen hast, ist deine AV Lösung vermutlich auch noch vorher ruhiggestellt worden. Kam diese AV Lösung erst später drauf, wurde diese bei der Installation gekapert um dein Verehrer nicht zu veraten.

Gruß,
Peter
dbox3
dbox3 11.01.2014 um 00:27:59 Uhr
Goto Top
Zitat von @Pjordorf:

Hallo,

> Zitat von @dbox3:
> Was kann ich sonst versuchen?
Du hast entweder
a: Ein Skript auf dein DC der alle paar Minuten (du hast "einige" Minuten nicht näher definiert, ergo dürfen
wir schätzen wie lang dies ist) nachschaut ob die UAC Deaktiviert wurde und aktiviert diese wieder
b: Eine oder mehrere Gruppenrichtlinie(n) werden per Skript alle paar Minuten ausgeführt wo deine UAC geprüft und wieder
deaktiviert wird
c: Ein andere Admin der dein tun überwacht und dann per Remote deine UAC wieder ausknippst
d: Ein Virus / Trojaner / Unerwünschtes Programm was deine UAC beobachtet und die dann wieder schlafen schickt. Dein Rechner
gehört somit nicht mehr dir. Und da es sich auch noch um ein DC handelt .....

e: hat dieser Virus / Trojaner / Unerwünschtes Programm es geschafft sich eigene GPO's zu erstellen und anzuwenden oder
sich heimlich mitverteilt wenn du neue Rechner aufsetzt damit dort der gleiche Unfug gemacht werden kann. Ein Virus / Trojaner
/ Unerwünschtes Programm nur auf einen Rechner ist ja langweilig. ..Die wollen auch ihren Spass.

Ich tippe ganz klar auf Alternative d: welche dann automatisch Alternative e: nach sich zieht.

Und sollte auf dein DC schon eine AV Lösung (keine Freeware bitte) drauf sein bzw. gewesen sein als du dir deinen heimlichen
Verehrer eingefangen hast, ist deine AV Lösung vermutlich auch noch vorher ruhiggestellt worden. Kam diese AV Lösung
erst später drauf, wurde diese bei der Installation gekapert um dein Verehrer nicht zu veraten.

Gruß,
Peter

Vermutlich hast du mit deiner Vermutung Recht, denn ich zu a. es gibt keine start- bzw. andere Skripts auf dem DC, zu b. gilt das Gleiche, zu c. ich bin der einzige Admin. Was wäre dein lösungsvorschlag? eine Neuinstallation wäre sehr aufwendig: ORACLE-Datenbank etc. auf dem DC... Ein Neuinstallation des AV? Scan mit einem externen Virenscanner?
Danke.
Pjordorf
Pjordorf 11.01.2014 um 01:21:24 Uhr
Goto Top
Hallo,

Zitat von @dbox3:
Was wäre dein lösungsvorschlag?
Korrekte Antwort? Neu Installation, auch wenn es ein DC ist, auch wenn dort Oracle drauf ist, auch wenn.... ES IST DEINE ZENTRALE DIE VON UNBEKANNTEN BESETZT WURDE: Da gibt es keine Frage nach dem was weniger weh tut.
.
eine Neuinstallation wäre sehr aufwendig:
Wusstest du vorher schon als du die Domäne aufgebaut hast. Wo ist deine Sicherung (saubere)?

ORACLE-Datenbank etc. auf dem DC...
Spielt keine Geige. Und das es sich um deinen Dc handelt ist halt zwar bitter, aber es gibt Gründe warum auf einen DC nicht zwingend ein DB .... ach was solls.

Ein Neuinstallation des AV?
Was soll das auf einem Komprimitierten System bringen? Zeitvertreib?

Scan mit einem externen Virenscanner?
Ja, aber Offline.

Den DC offline nehmen, am besten LAN Kabel ziehen.
Datensicherung deines Servers machen (Daten und System getrennt) Systemstarus usw.
Dann dort mit verschiedene Offline Virenscanner (Ja, mehrzahl) nach Viren, Rootkits und dergleichen suchen und versuchen zu bereinigen.
Kann bereinigt werden?
Ist die Bereinigung tatsächlicherfolgreich gewesen? Gibt es noch Spuren an anderer Stelle (Wie kann sichergestellt werden das dein System tatsächlich nichts verstecktes mehr hat?) Ich würde dem nicht mehr trauen.

Gibt es noch andere DC's
Ist der systemstaus sauber um die Domäne zu Retten?

War das nur eine Spielerei oder was der Virus / Trojaner / Unerwünschtes Programm tatsächlich angestellt bzw. was war seine Intention und sein Ziel?

Da tun sich noch ganz viele Fragen auf....

Gruß,
Peter
dbox3
dbox3 11.01.2014 um 05:43:19 Uhr
Goto Top
Wie es aussieht, habe ich viel Arbeit. Danke für die Tipps.