minimann
Goto Top

Server 2008 R2 - ausgesperrt

Hallo,

mein Kollege ist auf die Idee gekommen unseren Windows Server 2008 R2 (Online) besser abzusichern. Erstmal nicht schlecht, leider hat er dabei einen gewaltigen Bock geschossen.

Als ich mich anmelden wollte erhalte ich nun als Admin folgende Meldung:
Sie müssen über das Recht "Anmeldung über Terminaldienste zulassen" verfügen, um sich an diesem Remotecomputer anmelden zu können.

Laut ihm hat er nur in den GPO beim Recht "Anmeldung über Terminaldienste verweigern" die Gruppe "Benutzer" hinzugefügt. Ich kann aktuell noch über Plesk auf die Dateistruktur zugreifen und auch sämtliche WebAnwendungen laufen noch ohne Probleme.

Kann ich irgendwie das Recht wieder rausnehmen, Skript in den Autostart schieben oder irgendwelche anderen Ideen? Oder einzelne Ordner aus dem letzten Snapshot ersetzen lassen? Ich bin hier auf 180... komplettes Backup will ich eigentlich nicht aufspielen.

Content-ID: 294352

Url: https://administrator.de/contentid/294352

Ausgedruckt am: 05.11.2024 um 20:11 Uhr

Vision2015
Vision2015 27.01.2016 um 12:21:23 Uhr
Goto Top
Guten Tag.

da wurde der bock zum gärtner gemacht....
also ein Windows Server mit Plesk...oh weh....
also wenn du kein Backup etc hast, bzw. nutzen möchtest-würde ich an deiner stelle bei dem Hoster Anrufen, und ihn bitten- natürlich kostenpflichtig, die änderungen rückgängig zu machen.

Gruß
Frank
Chonta
Chonta 27.01.2016 um 12:21:32 Uhr
Goto Top
Hallo,

hat der Server nen KVMPort über den Du zugreifen kannst, als wärst Du lokal?
Ansonsten hinfahren und lokal anmelden.
Selbst DER Administrator ist mitglied der Gruppe Domänen-Benutzer.... Dumm da mit Verweigerung zu arbeiten.
Es reicht nur der Gruppe der Domänen-admins oder einer Speziellen Gruppe das Recht zu geben das die dürfen, alle die nicht dürfen dürfen auch automatisch nischt.
Davon abgesehen ist RDP OHNE VPN eine gans BLÖDE Idee face-wink

Oder über RSAT Tools die GPO bearbeiten und warten bis die neu gezogen wurde. Stichwort Remoteverwaltung und so.. wenn die Firewall das mit macht. VPN ist immer eine Gute Idee face-wink

Gruß

Chonta
emeriks
emeriks 27.01.2016 aktualisiert um 12:32:35 Uhr
Goto Top
Hi,
DER lokale Administrator ist standardmäßig kein Mitglieder der lokalen Benutzer.
Ist der Server Mitglied einer Domäne? Falls ja, einfach über GPO diese Einstellung wieder rückgängig machen. Oder mit dem lokalene Admin versuchen.
Falls nein: Ist der Server vollkommen dicht (Firewall) oder kann man ihn remote verwalten? Falls ja, dann eben remote diese Einstellung wieder rückgängig machen.
Ansonsten bleibt bloss der Zugriff direkt auf die Konsole. Also direkt an der Hardware, KVM-Switch, oder falls ein VM über die ensprechende Konsole des verwendeten Hypervisors.

E.
MiniMann
MiniMann 27.01.2016 um 12:36:24 Uhr
Goto Top
Nein, ist nur ein simpler V-Server.
VPN war der nächste Schritt seiner Sicherheitsaktion, aber nunja so weit ist er nicht gekommen.
RSAT klingt gut! Ich teste das jetzt mal (die Firewall kann ich ja noch über PLESK anpassen) und melde mich dann wieder.
DerWoWusste
DerWoWusste 27.01.2016 um 13:15:40 Uhr
Goto Top
Hi.

Wenn Du remote Skripte ausführen kannst, kannst Du diese Einstellung sicherlich auch wieder entfernen. Dazu auf einem anderen System mit secedit exportieren und wieder importieren. https://technet.microsoft.com/en-us/library/hh875548.aspx
MiniMann
MiniMann 27.01.2016 um 14:22:06 Uhr
Goto Top
Mit RSAT renne ich gegen eine Wand. Fehlt vermutlich ein Framework oder ähnliches am Server um es zu aktivieren und zu nutzen.
MiniMann
MiniMann 27.01.2016 aktualisiert um 14:30:34 Uhr
Goto Top
Ich habe leider keinen zweiten 2008 R2 um die entsprechenden Einstellungen zu exportieren.
Könnte aber ohne Probleme Skripte ausführen!

E:
Wäre ein feiner Zug wenn jemand die Einstellungen zur Verfügung stellen könnte.
Konkret geht es nur um die Richtline "Anmelden über Terminaldienste verweigern" diese muss wieder "leer" werden bzw. mein Administrator soll wieder die Möglichkeit haben sich anzumelden.
emeriks
Lösung emeriks 27.01.2016, aktualisiert am 28.01.2016 um 13:46:18 Uhr
Goto Top
Mit RSAT renne ich gegen eine Wand. Fehlt vermutlich ein Framework oder ähnliches am Server um es zu aktivieren und zu nutzen.
Nein, wenn dann Firewall. Dann kommst Du aber auch mit Scripte nicht weit ...

Wo steht denn der Server? Bei einem Hoster?
MiniMann
MiniMann 27.01.2016 um 14:43:58 Uhr
Goto Top
Ja, steht bei Host Europe.

Firewall ist frei bzw ich habe den Port 5985 (ist der richtige?) freigegeben (über Plesk kann ich noch Skripte ausführen etc...). Es erscheint die Anmeldemaske aber dann erhalte ich die Meldung "Der Benutzername bzw. das Kennwort ist falsch."

Wenn ich direkt die GPO komplett zurücksetze? Wäre das eine Option? mit:
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

Vielen Dank für die Hilfe!
Cloudy
Cloudy 27.01.2016 aktualisiert um 15:15:35 Uhr
Goto Top
pack folgendes in ein Skript:
secedit.exe /export /cfg recover.txt
Anschließend schnappst du dir die Datei und löscht du in der Zeile alles hinter dem Gleichheitszeichen
SeDenyRemoteInteractiveLogonRight = *S-1-5-...
Abschließend schiebst du die config wieder hoch
secedit.exe /import...Import funktioniert nicht so einfach
Hatte nur den export getestet...

Mein Tipp, installiere VNC oder TeamViewer über ein Skript und dann kannst du dich auf der Konsole anmelden.
DerWoWusste
Lösung DerWoWusste 27.01.2016, aktualisiert am 28.01.2016 um 13:46:12 Uhr
Goto Top
Nein, Microsoft unterstützt seit Vista/Server 2008 diesen komplett-Reset nicht mehr (geht, aber tut nicht dass, was es soll).
INstallier Dir 08R2 in eine VM, müsste ich auch machen, um zu helfen.
DerWoWusste
DerWoWusste 27.01.2016 um 14:57:51 Uhr
Goto Top
@Cloudy
Ja, wenn das getestet klappt, warum nicht face-smile
MiniMann
MiniMann 27.01.2016 um 15:14:42 Uhr
Goto Top
Vielen Dank!
Werde ich umgehend testen wenn der Server wieder online ist, denn passend zur ganzen Misere ist jetzt auch noch ein Ausfall eingetreten...
DerWoWusste
Lösung DerWoWusste 27.01.2016, aktualisiert am 28.01.2016 um 13:46:05 Uhr
Goto Top
Ich hoffe mal, dass Du den Edit von cloudy bemerkt hast...
@Cloudy: schreib nächstes Mal einen neuen Kommentar, dann wird er auch benachrichtigt.
Chonta
Chonta 27.01.2016, aktualisiert am 28.01.2016 um 13:45:59 Uhr
Goto Top
Sicher das ihr keinen KVM-Zugang zu dem Server habt?

Gruß

Chonta
tobenderZephyr
Lösung tobenderZephyr 27.01.2016, aktualisiert am 28.01.2016 um 13:45:52 Uhr
Goto Top
du sagst, im Plesk kannst du Befehle ausführen?
winrm quickconfig für remoteverwaltung
oder für Powershell Grant-RDOUAccess (https://technet.microsoft.com/de-de/library/jj215451.aspx)

zur not Enable-PSRemoting, dann (lokal auf der Powershell mit Enter-PSSession -credentials auf den Server einloggen)
Get-GPRegistryValue
Get-GPPrefRegistryValue
Set-GPRegistryValue
Set-GPPrefRegistryValue

Ist etwas Fummelei, aber dürfte dann wohl auch zum Ziel führen.

https://technet.microsoft.com/de-de/library/ee461027.aspx
MiniMann
MiniMann 28.01.2016 um 13:47:04 Uhr
Goto Top
Vielen Dank an alle!
Hat bestens geklappt, der Kollege schuldet jetzt einige Runden Bier ;)