17
Server 2008 R2 - ausgesperrt
Hallo,
mein Kollege ist auf die Idee gekommen unseren Windows Server 2008 R2 (Online) besser abzusichern. Erstmal nicht schlecht, leider hat er dabei einen gewaltigen Bock geschossen.
Als ich mich anmelden wollte erhalte ich nun als Admin folgende Meldung:
Sie müssen über das Recht "Anmeldung über Terminaldienste zulassen" verfügen, um sich an diesem Remotecomputer anmelden zu können.
Laut ihm hat er nur in den GPO beim Recht "Anmeldung über Terminaldienste verweigern" die Gruppe "Benutzer" hinzugefügt. Ich kann aktuell noch über Plesk auf die Dateistruktur zugreifen und auch sämtliche WebAnwendungen laufen noch ohne Probleme.
Kann ich irgendwie das Recht wieder rausnehmen, Skript in den Autostart schieben oder irgendwelche anderen Ideen? Oder einzelne Ordner aus dem letzten Snapshot ersetzen lassen? Ich bin hier auf 180... komplettes Backup will ich eigentlich nicht aufspielen.
mein Kollege ist auf die Idee gekommen unseren Windows Server 2008 R2 (Online) besser abzusichern. Erstmal nicht schlecht, leider hat er dabei einen gewaltigen Bock geschossen.
Als ich mich anmelden wollte erhalte ich nun als Admin folgende Meldung:
Sie müssen über das Recht "Anmeldung über Terminaldienste zulassen" verfügen, um sich an diesem Remotecomputer anmelden zu können.
Laut ihm hat er nur in den GPO beim Recht "Anmeldung über Terminaldienste verweigern" die Gruppe "Benutzer" hinzugefügt. Ich kann aktuell noch über Plesk auf die Dateistruktur zugreifen und auch sämtliche WebAnwendungen laufen noch ohne Probleme.
Kann ich irgendwie das Recht wieder rausnehmen, Skript in den Autostart schieben oder irgendwelche anderen Ideen? Oder einzelne Ordner aus dem letzten Snapshot ersetzen lassen? Ich bin hier auf 180... komplettes Backup will ich eigentlich nicht aufspielen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 294352
Url: https://administrator.de/contentid/294352
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
17 Kommentare
Neuester Kommentar
Guten Tag.
da wurde der bock zum gärtner gemacht....
also ein Windows Server mit Plesk...oh weh....
also wenn du kein Backup etc hast, bzw. nutzen möchtest-würde ich an deiner stelle bei dem Hoster Anrufen, und ihn bitten- natürlich kostenpflichtig, die änderungen rückgängig zu machen.
Gruß
Frank
da wurde der bock zum gärtner gemacht....
also ein Windows Server mit Plesk...oh weh....
also wenn du kein Backup etc hast, bzw. nutzen möchtest-würde ich an deiner stelle bei dem Hoster Anrufen, und ihn bitten- natürlich kostenpflichtig, die änderungen rückgängig zu machen.
Gruß
Frank
Hallo,
hat der Server nen KVMPort über den Du zugreifen kannst, als wärst Du lokal?
Ansonsten hinfahren und lokal anmelden.
Selbst DER Administrator ist mitglied der Gruppe Domänen-Benutzer.... Dumm da mit Verweigerung zu arbeiten.
Es reicht nur der Gruppe der Domänen-admins oder einer Speziellen Gruppe das Recht zu geben das die dürfen, alle die nicht dürfen dürfen auch automatisch nischt.
Davon abgesehen ist RDP OHNE VPN eine gans BLÖDE Idee
Oder über RSAT Tools die GPO bearbeiten und warten bis die neu gezogen wurde. Stichwort Remoteverwaltung und so.. wenn die Firewall das mit macht. VPN ist immer eine Gute Idee
Gruß
Chonta
hat der Server nen KVMPort über den Du zugreifen kannst, als wärst Du lokal?
Ansonsten hinfahren und lokal anmelden.
Selbst DER Administrator ist mitglied der Gruppe Domänen-Benutzer.... Dumm da mit Verweigerung zu arbeiten.
Es reicht nur der Gruppe der Domänen-admins oder einer Speziellen Gruppe das Recht zu geben das die dürfen, alle die nicht dürfen dürfen auch automatisch nischt.
Davon abgesehen ist RDP OHNE VPN eine gans BLÖDE Idee
Oder über RSAT Tools die GPO bearbeiten und warten bis die neu gezogen wurde. Stichwort Remoteverwaltung und so.. wenn die Firewall das mit macht. VPN ist immer eine Gute Idee
Gruß
Chonta
Hi,
DER lokale Administrator ist standardmäßig kein Mitglieder der lokalen Benutzer.
Ist der Server Mitglied einer Domäne? Falls ja, einfach über GPO diese Einstellung wieder rückgängig machen. Oder mit dem lokalene Admin versuchen.
Falls nein: Ist der Server vollkommen dicht (Firewall) oder kann man ihn remote verwalten? Falls ja, dann eben remote diese Einstellung wieder rückgängig machen.
Ansonsten bleibt bloss der Zugriff direkt auf die Konsole. Also direkt an der Hardware, KVM-Switch, oder falls ein VM über die ensprechende Konsole des verwendeten Hypervisors.
E.
DER lokale Administrator ist standardmäßig kein Mitglieder der lokalen Benutzer.
Ist der Server Mitglied einer Domäne? Falls ja, einfach über GPO diese Einstellung wieder rückgängig machen. Oder mit dem lokalene Admin versuchen.
Falls nein: Ist der Server vollkommen dicht (Firewall) oder kann man ihn remote verwalten? Falls ja, dann eben remote diese Einstellung wieder rückgängig machen.
Ansonsten bleibt bloss der Zugriff direkt auf die Konsole. Also direkt an der Hardware, KVM-Switch, oder falls ein VM über die ensprechende Konsole des verwendeten Hypervisors.
E.
Nein, ist nur ein simpler V-Server.
VPN war der nächste Schritt seiner Sicherheitsaktion, aber nunja so weit ist er nicht gekommen.
RSAT klingt gut! Ich teste das jetzt mal (die Firewall kann ich ja noch über PLESK anpassen) und melde mich dann wieder.
VPN war der nächste Schritt seiner Sicherheitsaktion, aber nunja so weit ist er nicht gekommen.
RSAT klingt gut! Ich teste das jetzt mal (die Firewall kann ich ja noch über PLESK anpassen) und melde mich dann wieder.
Hi.
Wenn Du remote Skripte ausführen kannst, kannst Du diese Einstellung sicherlich auch wieder entfernen. Dazu auf einem anderen System mit secedit exportieren und wieder importieren. https://technet.microsoft.com/en-us/library/hh875548.aspx
Wenn Du remote Skripte ausführen kannst, kannst Du diese Einstellung sicherlich auch wieder entfernen. Dazu auf einem anderen System mit secedit exportieren und wieder importieren. https://technet.microsoft.com/en-us/library/hh875548.aspx
Mit RSAT renne ich gegen eine Wand. Fehlt vermutlich ein Framework oder ähnliches am Server um es zu aktivieren und zu nutzen.
Ich habe leider keinen zweiten 2008 R2 um die entsprechenden Einstellungen zu exportieren.
Könnte aber ohne Probleme Skripte ausführen!
E:
Wäre ein feiner Zug wenn jemand die Einstellungen zur Verfügung stellen könnte.
Konkret geht es nur um die Richtline "Anmelden über Terminaldienste verweigern" diese muss wieder "leer" werden bzw. mein Administrator soll wieder die Möglichkeit haben sich anzumelden.
Könnte aber ohne Probleme Skripte ausführen!
E:
Wäre ein feiner Zug wenn jemand die Einstellungen zur Verfügung stellen könnte.
Konkret geht es nur um die Richtline "Anmelden über Terminaldienste verweigern" diese muss wieder "leer" werden bzw. mein Administrator soll wieder die Möglichkeit haben sich anzumelden.
Mit RSAT renne ich gegen eine Wand. Fehlt vermutlich ein Framework oder ähnliches am Server um es zu aktivieren und zu nutzen.
Nein, wenn dann Firewall. Dann kommst Du aber auch mit Scripte nicht weit ...Wo steht denn der Server? Bei einem Hoster?
Ja, steht bei Host Europe.
Firewall ist frei bzw ich habe den Port 5985 (ist der richtige?) freigegeben (über Plesk kann ich noch Skripte ausführen etc...). Es erscheint die Anmeldemaske aber dann erhalte ich die Meldung "Der Benutzername bzw. das Kennwort ist falsch."
Wenn ich direkt die GPO komplett zurücksetze? Wäre das eine Option? mit:
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
Vielen Dank für die Hilfe!
Firewall ist frei bzw ich habe den Port 5985 (ist der richtige?) freigegeben (über Plesk kann ich noch Skripte ausführen etc...). Es erscheint die Anmeldemaske aber dann erhalte ich die Meldung "Der Benutzername bzw. das Kennwort ist falsch."
Wenn ich direkt die GPO komplett zurücksetze? Wäre das eine Option? mit:
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
Vielen Dank für die Hilfe!
pack folgendes in ein Skript:
secedit.exe /export /cfg recover.txt
Anschließend schnappst du dir die Datei und löscht du in der Zeile alles hinter dem Gleichheitszeichen
SeDenyRemoteInteractiveLogonRight = *S-1-5-...
Abschließend schiebst du die config wieder hoch
secedit.exe /import...Import funktioniert nicht so einfach
Hatte nur den export getestet...
Mein Tipp, installiere VNC oder TeamViewer über ein Skript und dann kannst du dich auf der Konsole anmelden.
secedit.exe /export /cfg recover.txt
Anschließend schnappst du dir die Datei und löscht du in der Zeile alles hinter dem Gleichheitszeichen
SeDenyRemoteInteractiveLogonRight = *S-1-5-...
Abschließend schiebst du die config wieder hoch
Hatte nur den export getestet...
Mein Tipp, installiere VNC oder TeamViewer über ein Skript und dann kannst du dich auf der Konsole anmelden.
Nein, Microsoft unterstützt seit Vista/Server 2008 diesen komplett-Reset nicht mehr (geht, aber tut nicht dass, was es soll).
INstallier Dir 08R2 in eine VM, müsste ich auch machen, um zu helfen.
INstallier Dir 08R2 in eine VM, müsste ich auch machen, um zu helfen.
Vielen Dank!
Werde ich umgehend testen wenn der Server wieder online ist, denn passend zur ganzen Misere ist jetzt auch noch ein Ausfall eingetreten...
Werde ich umgehend testen wenn der Server wieder online ist, denn passend zur ganzen Misere ist jetzt auch noch ein Ausfall eingetreten...
Ich hoffe mal, dass Du den Edit von cloudy bemerkt hast...
@Cloudy: schreib nächstes Mal einen neuen Kommentar, dann wird er auch benachrichtigt.
@Cloudy: schreib nächstes Mal einen neuen Kommentar, dann wird er auch benachrichtigt.
Sicher das ihr keinen KVM-Zugang zu dem Server habt?
Gruß
Chonta
Gruß
Chonta
du sagst, im Plesk kannst du Befehle ausführen?
winrm quickconfig für remoteverwaltung
oder für Powershell Grant-RDOUAccess (https://technet.microsoft.com/de-de/library/jj215451.aspx)
zur not Enable-PSRemoting, dann (lokal auf der Powershell mit Enter-PSSession -credentials auf den Server einloggen)
Get-GPRegistryValue
Get-GPPrefRegistryValue
Set-GPRegistryValue
Set-GPPrefRegistryValue
Ist etwas Fummelei, aber dürfte dann wohl auch zum Ziel führen.
https://technet.microsoft.com/de-de/library/ee461027.aspx
winrm quickconfig für remoteverwaltung
oder für Powershell Grant-RDOUAccess (https://technet.microsoft.com/de-de/library/jj215451.aspx)
zur not Enable-PSRemoting, dann (lokal auf der Powershell mit Enter-PSSession -credentials auf den Server einloggen)
Get-GPRegistryValue
Get-GPPrefRegistryValue
Set-GPRegistryValue
Set-GPPrefRegistryValue
Ist etwas Fummelei, aber dürfte dann wohl auch zum Ziel führen.
https://technet.microsoft.com/de-de/library/ee461027.aspx
Vielen Dank an alle!
Hat bestens geklappt, der Kollege schuldet jetzt einige Runden Bier ;)
Hat bestens geklappt, der Kollege schuldet jetzt einige Runden Bier ;)
