Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Upgrade Windows 10 1903 und Office 2010 Problem mit Userzertifikaten

Mitglied: Looser27

Looser27 (Level 3) - Jetzt verbinden

16.09.2019 um 09:15 Uhr, 562 Aufrufe, 12 Kommentare

Guten Morgen,

ich habe bei uns ein Phänomen in o.g. Kombination festgestellt, welches nach dem Inplace-Upgrade auf 1903 auftritt.

Wir verwenden signierte Macros für diverse Dokumente. Die Userzertifikate werden per GPO bei der CA angefordert und verteilt.

Nach dem Upgrade werden die Dokumente jedoch mit der Warnung "Makros deaktiviert" geöffnet und funktionieren somit nicht.

Mein bisheriger Lösungsweg ist hier:

- Anmelden als Administrator am Client
- einmaliges Öffnen eines "Makro-Dokuments"
- Abmelden

Anschließend funktionieren die Dokumente wieder bei jedem Kollegen, der sich am PC anmeldet.

Vielleicht hat hier jemand das selbe Problem und einen eleganteren Lösungsweg.

Mittelfristig werde ich MS Office 2010 durch 2016 ersetzen, doch das wird erst im nächsten Jahr sein.

Gruß

Looser

P.S.: Wir führen immer Inplace-Upgrades an den Clients durch und es ist das erste Mal, dass dieses Phänomen auftritt.
Mitglied: emeriks
16.09.2019, aktualisiert um 09:20 Uhr
Hi,
Zitat von Looser27:
Mein bisheriger Lösungsweg ist hier:
- Anmelden als Administrator am Client
Derselbe Benutzer, bloß Office als "als Administrator" gestartet?
Oder anderes Benutzerkonto, welches lokale Administrator-Rechte hat?

E.
Bitte warten ..
Mitglied: Looser27
16.09.2019 um 09:40 Uhr
Anmeldung als Domain-Admin mit allen Rechten. Wir haben keine lokalen Admin-Accounts.
Bitte warten ..
Mitglied: emeriks
16.09.2019 um 09:52 Uhr
Könntest Du bitte meine Fragen beantworten?
Bitte warten ..
Mitglied: Looser27
16.09.2019 um 10:18 Uhr
Hab ich doch.....

Ich melde mich als Domain-Admin am Client an.
Starte z.B. Excel 2010 und öffne ein Dokument mit Makros.
Dann schließe ich alles wieder und der Kollege kann sich wieder anmelden und wie gewohnt arbeiten.

Gruß

Looser
Bitte warten ..
Mitglied: emeriks
16.09.2019 um 10:25 Uhr
Zitat von Looser27:
Hab ich doch.....
Nein, hast Du nicht.
Aber ich reime mir zusammen ...
Zitat von emeriks:
Derselbe Benutzer, bloß Office als "als Administrator" gestartet?
Oder anderes Benutzerkonto, welches lokale Administrator-Rechte hat?
Nein. Ein anderer Benutzer, welcher lokale Adminrechte hat, meldet sich an und startet ohne "als Administrator ausführen" Excel und danach kann sich wieder ein "normaler" Benutzer (Nicht-Admin) anmelden und hat keine Probleme mehr.

Ist UAC aktiviert oder deaktiviert?
Bitte warten ..
Mitglied: Looser27
16.09.2019 um 11:17 Uhr
Ein anderer Benutzer, welcher lokale Adminrechte hat, meldet sich an und startet ohne "als Administrator ausführen" Excel und danach kann sich wieder ein "normaler" Benutzer (Nicht-Admin) anmelden, und hat keine Probleme mehr.

Korrekt.

UAC ist deaktiviert.
Bitte warten ..
Mitglied: emeriks
LÖSUNG 16.09.2019, aktualisiert um 11:21 Uhr
Zitat von Looser27:
UAC ist deaktiviert.
Das erklärt.
Beim Ausführen mit einem Konto mit lokalen Admin-Rechten wird offensichtlich etwas im HKLM geändert. Das musst Du herausfinden (z.B. mittels PROCMON) und dann einfach per GPO auf die Computer verteilen.
Bitte warten ..
Mitglied: Looser27
16.09.2019 um 11:58 Uhr
Das verwunderliche ist aber, dass es mit den neueren Office-Versionen 2013 und 2016 nicht zu diesem Phänomen kommt.

Aber ich werde das mal testen. Für diese Upgrade-Session bin ich nämlich schon durch.
Bitte warten ..
Mitglied: 140913
16.09.2019, aktualisiert um 12:19 Uhr
Zitat von Looser27:

Anmeldung als Domain-Admin mit allen Rechten. Wir haben keine lokalen Admin-Accounts.
Und dazu dann noch die UAC ausgeschaltet, da kann man eigentlich nur den Kopf schütteln, vor allem wenn man dann noch versucht mit Zertifikaten die Sicherheit auf den Clients zu erhöhen ... Obwohl mit der Anmeldung eines "Domain-Admin" an einem nicht vertrauenswürdigen Client die Sicherheit schon vollkommen im A. ist und damit die gesamte Domain gefährdet ist. Da wurde offensichtlich nicht konsequent zu Ende gedacht, sorry.
Das ist wie wenn du vor dem Haus eine 10M Mauer hoch ziehst, aber im Garten die Terrassentüre offen stehen lässt.
Bitte warten ..
Mitglied: emeriks
16.09.2019, aktualisiert um 12:59 Uhr
Zitat von 140913:
Und dazu dann noch die UAC ausgeschaltet, da kann man eigentlich nur den Kopf schütteln, vor allem wenn man dann noch versucht mit Zertifikaten die Sicherheit auf den Clients zu erhöhen ...
Was hat das Eine mit dem Anderen zu tun?
UAC erhöht nicht die Sicherheit, nur das Empfinden derselben.
Obwohl mit der Anmeldung eines "Domain-Admin" an einem nicht vertrauenswürdigen Client die Sicherheit schon vollkommen im A. ist und damit die gesamte Domain gefährdet ist.
Das ist m.E. Quatsch, was Du da schreibst. Mit einem Domänen-Benutzer kann man sich nur an einem Domänenmitglied anmelden. Warum sollte ein Domänenmitglied nicht vertrauenswürdig sein? Eher das Gegenteil ...
Da wurde offensichtlich nicht konsequent zu Ende gedacht, sorry.
Von Dir jetzt, oder wie?
Bitte warten ..
Mitglied: 140913
16.09.2019, aktualisiert um 13:09 Uhr
Zitat von emeriks:

Zitat von 140913:
Und dazu dann noch die UAC ausgeschaltet, da kann man eigentlich nur den Kopf schütteln, vor allem wenn man dann noch versucht mit Zertifikaten die Sicherheit auf den Clients zu erhöhen ...
Was hat das Eine mit dem Anderen zu tun?
Mit der Sicherheit allgemein.
UAC erhöht nicht die Sicherheit, nur das Empfinden derselben.
Obwohl mit der Anmeldung eines "Domain-Admin" an einem nicht vertrauenswürdigen Client die Sicherheit schon vollkommen im A. ist und damit die gesamte Domain gefährdet ist.
Das ist m.E. Quatsch, was Du da schreibst. Mit einem Domänen-Benutzer kann man sich nur an einem Domänenmitglied anmelden. Warum sollte ein Domänenmitglied nicht vertrauenswürdig sein? Eher das Gegenteil ...
Ein Login eines "Domain-Admins" an einem Client der Domain dem man nicht vollkommen vertrauen kann (kann kompromitiert sein und Hashes abgreifen und somit im schlimmsten Fall die Domäne übernehmen), ist ein absolutes NO-GO. Domain-Admin-Konten verwendet man keinesfalls zur Wartung von Client-Rechnern dafür erstellt man sich optimalerweise temporär aktivierte lokale Admin-Konten und Accounts.

Da wurde offensichtlich nicht konsequent zu Ende gedacht, sorry.
Von Dir jetzt, oder wie?
Nö. Beschäftige dich mal mit GoldenTicket, Mimikatz&Co. dann verstehst du worauf ich hinaus will.
Bitte warten ..
Mitglied: emeriks
16.09.2019 um 13:14 Uhr
Zitat von 140913:
Ein Login eines "Domain-Admins" an einem Client der Domain dem man nicht vollkommen vertrauen kann (kann kompromitiert sein und Hashes abgreifen und somit im schlimmsten Fall die Domäne übernehmen), ist ein absolutes NO-GO. Domain-Admin-Konten verwendet man keinesfalls zur Wartung von Client-Rechnern dafür erstellt man sich optimalerweise temporär aktivierte lokale Admin-Konten und Accounts.
Ganz anderes Thema, und in Deinen Steno-Kommentaren nicht erkennbar.

Nö. Beschäftige dich mal mit GoldenTicket, Mimikatz&Co. dann verstehst du worauf ich hinaus will.
Da bin ich zuhause
Bitte warten ..
Ähnliche Inhalte
Windows 10
Windows 10 1903
Frage von Hendrik2586Windows 107 Kommentare

Guten Morgen liebe Kolleginnen und Kollegen. :) Ich hab mich mal erdreißtet einen PC mit Windows 10 1903 fertig ...

Windows 10
Windows 10 Pro 1903
Frage von LeeX01Windows 1012 Kommentare

Hallo zusammen, weiß vielliecht jemand ob das Upgrade zu Win10 Pro 1903 schon im targeted Channel ist freigeben ist? ...

Windows 10
Windows 10 1903 Sysprep
Frage von DukeDMWindows 103 Kommentare

Moin, seit ein paar Tagen beschäftigt mich ein Problem, welches ich nicht nachvollziehen kann. Ich möchte ein aktuelles Windows ...

Windows 10
Windows 10 - 1903 Mandatory Profile
Frage von c0d3.r3dWindows 101 Kommentar

Hallo zusammen! Ich bin seit Tagen damit beschäftigt ein funktionsfähiges Mandatory Profile für Windows 10, Version 1903 zu erstellen. ...

Neue Wissensbeiträge
Humor (lol)
Das IoT wird schlimmer
Erfahrungsbericht von Henere vor 1 TagHumor (lol)7 Kommentare

Nun auch schon über den WSUS:

Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 2 TagenSicherheit1 Kommentar

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 2 TagenWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Grafik

Gute Spiele aus der Ubuntu Repository: SuperTuxKart

Information von NetzwerkDude vor 3 TagenGrafik2 Kommentare

Fall jemand die Firmenpolicy hat das man Linux Software nur aus dem default Repository installieren kann: Ich habe festgestellt ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
10G Netzwerk konfigurieren für maximalen Datendurchsatz
gelöst Frage von hukimanLAN, WAN, Wireless38 Kommentare

Guten Morgen, in unserem Betrieb wurde das Netzwerk auf 10G (Kupfer) umgerüstet. Grund dafür sind große Laserscandaten die sehr ...

Netzwerke
Subnetzmaske mit Hilfe der IP-Adresse berechnen
gelöst Frage von Jennifer21Netzwerke21 Kommentare

Hi zusammen, kann mir bitte jemand helfen bei dieser Aufgabe. Ich muss die die Subnetzsmaske berechnen von den IP-Adressen: ...

Exchange Server
Exchange 2016 550 5.7.60 SMTP Client does not have permissions to send
Frage von kermit-elmoExchange Server17 Kommentare

Hallo, ich möchte für bestimmte Mitarbeiter einen IMAP Zugang zum Firmen internen Exchange 2016 bereitstellen. Ein paar verwenden Linux ...

Windows 10
3D PDF bei WIN 10 mit Adobe Acrobat DC öffnen
Frage von DysfunktionWindows 1016 Kommentare

Hallo zusammen, Aus einem Konstruktionsprogramm ( Catia ) kann man Zeichnungen als 3 d PDF exportieren. Diese werden lokal ...