Hauptbenutzern das Ändern der Systemzeit verbieten
Hallo Helfende,
ich habe, wie einige andere auch, ein Problem mit der Systemzeit unserer Clients.
Wir haben verschiedene win2003 domaincontroller und viele xp-clients.
Unsere User sind Hauptbenutzer. (Dies muss auf Grund von unserer Rechtestruktur in verscheidenster Software so sein)
Problem ist das die User als Hauptbenutzer die Systemzeit verändern können.
Dies soll über eine Gruppenrichtlinie verboten werden.
Ich habe die anderen Beiträge hier und über google gelesen, jedoch bringt mich das nicht weiter.
unter der "Computer\Windows Einstellungen\Lokale RichtlinienZuweisen von Benutzerrechten\Ändern der Systemzeit" kann ich keine Rechte beschneiden!
Ich kann dort nur anderen Gruppen Rechte erteilen.
Gibt es eine Möglichkeit über die gpo das Ändern der Systemzeit zu verbieten?
Schon mal vorab vielen Dank für eure Posts.
Gruß Teiomi
ich habe, wie einige andere auch, ein Problem mit der Systemzeit unserer Clients.
Wir haben verschiedene win2003 domaincontroller und viele xp-clients.
Unsere User sind Hauptbenutzer. (Dies muss auf Grund von unserer Rechtestruktur in verscheidenster Software so sein)
Problem ist das die User als Hauptbenutzer die Systemzeit verändern können.
Dies soll über eine Gruppenrichtlinie verboten werden.
Ich habe die anderen Beiträge hier und über google gelesen, jedoch bringt mich das nicht weiter.
unter der "Computer\Windows Einstellungen\Lokale RichtlinienZuweisen von Benutzerrechten\Ändern der Systemzeit" kann ich keine Rechte beschneiden!
Ich kann dort nur anderen Gruppen Rechte erteilen.
Gibt es eine Möglichkeit über die gpo das Ändern der Systemzeit zu verbieten?
Schon mal vorab vielen Dank für eure Posts.
Gruß Teiomi
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 110617
Url: https://administrator.de/forum/hauptbenutzern-das-aendern-der-systemzeit-verbieten-110617.html
Ausgedruckt am: 15.05.2025 um 22:05 Uhr
9 Kommentare
Neuester Kommentar
Servus und willkommen im Club,
ich setze mal an dem Punkt an, der wirklich "stört" und nicht nur ein klitzekleines Symtom deines Problems ist:
Hier sind genügend gute Admins dabei, die dir helfen können - daß genau diese Zeile "Geschichte" sein kann.
Dazu mußt du nur (am besten in einem anderen Beitrag) deine Software aufzählen, für die "angeblich" Admin / Hauptbenutzerrechte notwendig sind.
Seit XP ist das mit den zuvielen Rechten nun wirklich nicht mehr nötig
Gruß
ich setze mal an dem Punkt an, der wirklich "stört" und nicht nur ein klitzekleines Symtom deines Problems ist:
Unsere User sind Hauptbenutzer. (Dies muss auf Grund von unserer Rechtestruktur in verscheidenster Software so sein)
Hier sind genügend gute Admins dabei, die dir helfen können - daß genau diese Zeile "Geschichte" sein kann.
Dazu mußt du nur (am besten in einem anderen Beitrag) deine Software aufzählen, für die "angeblich" Admin / Hauptbenutzerrechte notwendig sind.
Seit XP ist das mit den zuvielen Rechten nun wirklich nicht mehr nötig
Gruß
Was ich nicht so ganz daran verstehe ist, weshalb du in deinem konkreten Fall nicht die Hauptbenutzer an der genannten Stelle einfach entfernen kannst ?!
oder wieso du nicht eine neue Richtlinie definieren kannst ind er Adminsitratoren das Recht haben ???
Tatsächlich soltest du dir aber wirklich überlegen, wozu die User diese erweiterten Rechte benötigen. Da liegt kein Segen drin...
oder wieso du nicht eine neue Richtlinie definieren kannst ind er Adminsitratoren das Recht haben ???
Tatsächlich soltest du dir aber wirklich überlegen, wozu die User diese erweiterten Rechte benötigen. Da liegt kein Segen drin...
Hallo,
vorab danke für die Antworten.
Ich stimme euch komplett zu! Es ist definitiv der richtige Weg die struktur der Rechte zu überarbeiten und rechte zu "vergeben" anstatt alle zu erteilen und dann zu beschneiden.
Das Problem an dieser Geschichte sind die Kosten für die Firma.
Es wäre ein imenser Zeitaufwand diese Rechtestruktur umzustellen. Wir haben sehr viel Individiualsoftware im einsatz. Teilweise sind diese Tools aus den 90'gern.
wir sind in dem Team (dem ich angehöre) immer daran Sachen zu verändern und verbessern.
ABER: wir haben mit den Hauptbenutzern absolut keine Probleme. Eine Umstellung der Rechtestruktur ist nicht nur gefährlich sondern imens zeit und kostenaufwändig. Das Problem ist, dass wir genau jetzt einen Fall haben, wo ein Anwender auf die Idee kam Historieneinträge zu fälschen indem er die Systemzeit manipulierte.
Privat bei mir zuhause mache ich es bestimmt nicht auf diese weise, jedoch in nem Unternehmen mit ein paar hundert Clients ist das so ne sache.
Wir steuern dagegen an diese Struktur beizubehalten und stellen eins nach dem anderen um.
Für die Historienfälschung muss allerdings vorab eine schnelle Lösung gefunden werden. Diese ist meines erachtens die "beste" in dem man den Clients über Gpo die Änderung verbietet. Leider bekomme ich das für die Hauptbenutzer nicht hin und finde auch nichts im internet wie ich das machen könnte.
Es gibt doch bestimmt einen Regkey der genau das bewirkt. Diesen könnte man ja z.B. in eine Adm packen und als gpo veröffentlichen.
Könnt ihr mir da helfen?
Gruß Teiomi
vorab danke für die Antworten.
Ich stimme euch komplett zu! Es ist definitiv der richtige Weg die struktur der Rechte zu überarbeiten und rechte zu "vergeben" anstatt alle zu erteilen und dann zu beschneiden.
Das Problem an dieser Geschichte sind die Kosten für die Firma.
Es wäre ein imenser Zeitaufwand diese Rechtestruktur umzustellen. Wir haben sehr viel Individiualsoftware im einsatz. Teilweise sind diese Tools aus den 90'gern.
wir sind in dem Team (dem ich angehöre) immer daran Sachen zu verändern und verbessern.
ABER: wir haben mit den Hauptbenutzern absolut keine Probleme. Eine Umstellung der Rechtestruktur ist nicht nur gefährlich sondern imens zeit und kostenaufwändig. Das Problem ist, dass wir genau jetzt einen Fall haben, wo ein Anwender auf die Idee kam Historieneinträge zu fälschen indem er die Systemzeit manipulierte.
Privat bei mir zuhause mache ich es bestimmt nicht auf diese weise, jedoch in nem Unternehmen mit ein paar hundert Clients ist das so ne sache.
Wir steuern dagegen an diese Struktur beizubehalten und stellen eins nach dem anderen um.
Für die Historienfälschung muss allerdings vorab eine schnelle Lösung gefunden werden. Diese ist meines erachtens die "beste" in dem man den Clients über Gpo die Änderung verbietet. Leider bekomme ich das für die Hauptbenutzer nicht hin und finde auch nichts im internet wie ich das machen könnte.
Es gibt doch bestimmt einen Regkey der genau das bewirkt. Diesen könnte man ja z.B. in eine Adm packen und als gpo veröffentlichen.
Könnt ihr mir da helfen?
Gruß Teiomi
Hallo Helfende,
hat hier jemand noch eine Idee?
Leider stecke ich fest und komme nicht weiter.
Gruß Teiomi
hat hier jemand noch eine Idee?
Leider stecke ich fest und komme nicht weiter.
Gruß Teiomi
Servus,
ok - aber dann nur - wenn du aus den Haputbenutzern in deiner Überschrift "Hautbenutzern" machst
Auch spätere "suchende" sollen dann was davon haben ;.-)
..und da ich "bekanntlich" weder bis 3 zählen kann - aber dennoch kleinlich bin
du brauchst zwei Dateien:
... die sollte "irgendwo" zentral liegen - bei mir in c:\script\time - siehe den Pfad hinter /db...... in der "runme.cmd"
die runme.cmd führst du aus - und testet dann gegen, ob es klappt.
Gruß
ok - aber dann nur - wenn du aus den Haputbenutzern in deiner Überschrift "Hautbenutzern" machst
Auch spätere "suchende" sollen dann was davon haben ;.-)
..und da ich "bekanntlich" weder bis 3 zählen kann - aber dennoch kleinlich bin
du brauchst zwei Dateien:
Time.inf
[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[Privilege Rights]
sesystemtimeprivilege = Administratorenrunme.cmd
secedit /configure /db C:\script\time /cfg time.inf /overwritedie runme.cmd führst du aus - und testet dann gegen, ob es klappt.
- denn wie HubertN schon schrieb - eigentlich kannst du auch Gruppen/ Benutzer herausnehmen.
Gruß
Zitat von @60730:
Servus,
ok - aber dann nur - wenn du aus den
Haputbenutzern in deiner Überschrift
"Hautbenutzern" machst
Servus,
ok - aber dann nur - wenn du aus den
Haputbenutzern in deiner Überschrift
"Hautbenutzern" machst
Ob die Leute Hautbenutzer sind, steht ausser Frage, aber ^^ *kleiner scherz.
btw: danke für deine Hilfe. ich werde das heute mal versuchen und schreiben ob es geklappt hat.
Ps.: Was meint ihr mit "eigentlich kannst du auch Gruppen/ Benutzer herausnehmen"?
in der gpo unter: Lokale RichtlinienZuweisen von Benutzerrechten\Ändern der Systemzeit" die Hauptbenutzer rausnehmen? geht das denn? ich kann dort doch nur User zuweisen die das Recht bekommen sollen. Und nicht die Hauptbenutzer oder Admins entfernen?!
Gruß Teiomi
so, habe das den Morgen versucht.
1.) Er mag keine unc-Pfade. wollte die Scriptfiles gerne ins dfs legen. Jetzt liegen sie dann halt unter c:\Batch\
2.) Er bringt mir eine Meldung die ich mitt Ja oder Nein beantworten muss. geht das Silent?
Die Konfiguration des aktuellen Systems mit dieser Vorlage im /Overwrite-Modus wird zum Verlust der Sicherheitseinträge in der darangegebenen Datenbank führen, einschl. der Konfigurationseinträge. Möchten Sie diesen Vorgang fortsetzen? [J/N]
3.) hat nicht gefruchtet. Erbringt mit bei ner eingebauten "Pause" folgende Meldung:
Der Auftrag wurde mit einem Fehler abgeschlossen. Detaillierte Informationen befinden sich in der Protokolldatei %windir%\security\logs\scesrv.log.
in dem Ordner Logs gibt es die Logdatei leider nicht. alle Systemdateien und versteckten Dateien werden angezeigt.
Hast du eine Idee?
User ist Hauptbenutzer, das habe ich geprüft. Muss man das vllt als Admin ausführen? Kann der Hauptbenutzer, weil er eben Hauptbenutzer ist, dass Script vllt nicht ausführen?
Ich teste das mal. to be continued.
Gruß Teiomi
1.) Er mag keine unc-Pfade. wollte die Scriptfiles gerne ins dfs legen. Jetzt liegen sie dann halt unter c:\Batch\
2.) Er bringt mir eine Meldung die ich mitt Ja oder Nein beantworten muss. geht das Silent?
Die Konfiguration des aktuellen Systems mit dieser Vorlage im /Overwrite-Modus wird zum Verlust der Sicherheitseinträge in der darangegebenen Datenbank führen, einschl. der Konfigurationseinträge. Möchten Sie diesen Vorgang fortsetzen? [J/N]
3.) hat nicht gefruchtet. Erbringt mit bei ner eingebauten "Pause" folgende Meldung:
Der Auftrag wurde mit einem Fehler abgeschlossen. Detaillierte Informationen befinden sich in der Protokolldatei %windir%\security\logs\scesrv.log.
in dem Ordner Logs gibt es die Logdatei leider nicht. alle Systemdateien und versteckten Dateien werden angezeigt.
Hast du eine Idee?
User ist Hauptbenutzer, das habe ich geprüft. Muss man das vllt als Admin ausführen? Kann der Hauptbenutzer, weil er eben Hauptbenutzer ist, dass Script vllt nicht ausführen?
Ich teste das mal. to be continued.
Gruß Teiomi
Das kommt in der scesrv.log, wenn ich die cmd als admin ausführe.
Mittwoch, 11. März 2009 11:44:28
Warnung 5: Zugriff verweigert
Die vorhandene interne Datenbank kann nicht gelöscht werden.
Fehler 80: Die Datei ist vorhanden.
Fehler beim Erstellen von database.
Konfigurationsmodul wurde mit einem oder mehreren Fehlern initialisiert.----
Konfigurationsmodul wird deinitialisiert...
gruß Teiomi
Mittwoch, 11. März 2009 11:44:28
Warnung 5: Zugriff verweigert
Die vorhandene interne Datenbank kann nicht gelöscht werden.
Fehler 80: Die Datei ist vorhanden.
Fehler beim Erstellen von database.
Konfigurationsmodul wurde mit einem oder mehreren Fehlern initialisiert.----
Konfigurationsmodul wird deinitialisiert...
gruß Teiomi
Servus,
Also hast du irgendwo etwas, das dich daran hindert - siehe auch:
Denn das geht "normalerweise" problemlos.
Nimm noch mal einen anderen Client und melde dich da als Domainadmin an.
Gruß
User ist Hauptbenutzer, das habe ich geprüft. Muss man das vllt als Admin ausführen?
Yupp - Admin - sollte schon sein.geht das Silent?
Gib mal secedit unter ausführen ein - da findest du alle Schalter - du "suchst" /quietWarnung 5: Zugriff verweigert
Die vorhandene interne Datenbank kann nicht gelöscht werden.
Die vorhandene interne Datenbank kann nicht gelöscht werden.
Also hast du irgendwo etwas, das dich daran hindert - siehe auch:
ich kann dort doch nur User zuweisen die das Recht bekommen sollen.
Und nicht die Hauptbenutzer oder Admins entfernen?!
Und nicht die Hauptbenutzer oder Admins entfernen?!
Denn das geht "normalerweise" problemlos.
Nimm noch mal einen anderen Client und melde dich da als Domainadmin an.
Gruß
