12
Upgrade Windows 10 1903 und Office 2010 Problem mit Userzertifikaten
Guten Morgen,
ich habe bei uns ein Phänomen in o.g. Kombination festgestellt, welches nach dem Inplace-Upgrade auf 1903 auftritt.
Wir verwenden signierte Macros für diverse Dokumente. Die Userzertifikate werden per GPO bei der CA angefordert und verteilt.
Nach dem Upgrade werden die Dokumente jedoch mit der Warnung "Makros deaktiviert" geöffnet und funktionieren somit nicht.
Mein bisheriger Lösungsweg ist hier:
- Anmelden als Administrator am Client
- einmaliges Öffnen eines "Makro-Dokuments"
- Abmelden
Anschließend funktionieren die Dokumente wieder bei jedem Kollegen, der sich am PC anmeldet.
Vielleicht hat hier jemand das selbe Problem und einen eleganteren Lösungsweg.
Mittelfristig werde ich MS Office 2010 durch 2016 ersetzen, doch das wird erst im nächsten Jahr sein.
Gruß
Looser
P.S.: Wir führen immer Inplace-Upgrades an den Clients durch und es ist das erste Mal, dass dieses Phänomen auftritt.
ich habe bei uns ein Phänomen in o.g. Kombination festgestellt, welches nach dem Inplace-Upgrade auf 1903 auftritt.
Wir verwenden signierte Macros für diverse Dokumente. Die Userzertifikate werden per GPO bei der CA angefordert und verteilt.
Nach dem Upgrade werden die Dokumente jedoch mit der Warnung "Makros deaktiviert" geöffnet und funktionieren somit nicht.
Mein bisheriger Lösungsweg ist hier:
- Anmelden als Administrator am Client
- einmaliges Öffnen eines "Makro-Dokuments"
- Abmelden
Anschließend funktionieren die Dokumente wieder bei jedem Kollegen, der sich am PC anmeldet.
Vielleicht hat hier jemand das selbe Problem und einen eleganteren Lösungsweg.
Mittelfristig werde ich MS Office 2010 durch 2016 ersetzen, doch das wird erst im nächsten Jahr sein.
Gruß
Looser
P.S.: Wir führen immer Inplace-Upgrades an den Clients durch und es ist das erste Mal, dass dieses Phänomen auftritt.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 495374
Url: https://administrator.de/forum/upgrade-windows-10-1903-und-office-2010-problem-mit-userzertifikaten-495374.html
Ausgedruckt am: 01.04.2025 um 22:04 Uhr
12 Kommentare
Neuester Kommentar
Hi,
Derselbe Benutzer, bloß Office als "als Administrator" gestartet?
Oder anderes Benutzerkonto, welches lokale Administrator-Rechte hat?
E.
Derselbe Benutzer, bloß Office als "als Administrator" gestartet?
Oder anderes Benutzerkonto, welches lokale Administrator-Rechte hat?
E.
Anmeldung als Domain-Admin mit allen Rechten. Wir haben keine lokalen Admin-Accounts.
Könntest Du bitte meine Fragen beantworten?
Hab ich doch..... 
Ich melde mich als Domain-Admin am Client an.
Starte z.B. Excel 2010 und öffne ein Dokument mit Makros.
Dann schließe ich alles wieder und der Kollege kann sich wieder anmelden und wie gewohnt arbeiten.
Gruß
Looser
Ich melde mich als Domain-Admin am Client an.
Starte z.B. Excel 2010 und öffne ein Dokument mit Makros.
Dann schließe ich alles wieder und der Kollege kann sich wieder anmelden und wie gewohnt arbeiten.
Gruß
Looser
Nein, hast Du nicht.
Aber ich reime mir zusammen ...
Ist UAC aktiviert oder deaktiviert?
Aber ich reime mir zusammen ...
Zitat von @emeriks:
Derselbe Benutzer, bloß Office als "als Administrator" gestartet?
Oder anderes Benutzerkonto, welches lokale Administrator-Rechte hat?
Nein. Ein anderer Benutzer, welcher lokale Adminrechte hat, meldet sich an und startet ohne "als Administrator ausführen" Excel und danach kann sich wieder ein "normaler" Benutzer (Nicht-Admin) anmelden und hat keine Probleme mehr.Derselbe Benutzer, bloß Office als "als Administrator" gestartet?
Oder anderes Benutzerkonto, welches lokale Administrator-Rechte hat?
Ist UAC aktiviert oder deaktiviert?
Ein anderer Benutzer, welcher lokale Adminrechte hat, meldet sich an und startet ohne "als Administrator ausführen" Excel und danach kann sich wieder ein "normaler" Benutzer (Nicht-Admin) anmelden, und hat keine Probleme mehr.
Korrekt.
UAC ist deaktiviert.
Das verwunderliche ist aber, dass es mit den neueren Office-Versionen 2013 und 2016 nicht zu diesem Phänomen kommt.
Aber ich werde das mal testen. Für diese Upgrade-Session bin ich nämlich schon durch.
Aber ich werde das mal testen. Für diese Upgrade-Session bin ich nämlich schon durch.
Zitat von @Looser27:
Anmeldung als Domain-Admin mit allen Rechten. Wir haben keine lokalen Admin-Accounts.
Und dazu dann noch die UAC ausgeschaltet, da kann man eigentlich nur den Kopf schütteln, vor allem wenn man dann noch versucht mit Zertifikaten die Sicherheit auf den Clients zu erhöhen ... Obwohl mit der Anmeldung eines "Domain-Admin" an einem nicht vertrauenswürdigen Client die Sicherheit schon vollkommen im A. ist und damit die gesamte Domain gefährdet ist. Da wurde offensichtlich nicht konsequent zu Ende gedacht, sorry.Anmeldung als Domain-Admin mit allen Rechten. Wir haben keine lokalen Admin-Accounts.
Das ist wie wenn du vor dem Haus eine 10M Mauer hoch ziehst, aber im Garten die Terrassentüre offen stehen lässt.
Zitat von @140913:
Und dazu dann noch die UAC ausgeschaltet, da kann man eigentlich nur den Kopf schütteln, vor allem wenn man dann noch versucht mit Zertifikaten die Sicherheit auf den Clients zu erhöhen ...
Was hat das Eine mit dem Anderen zu tun?Und dazu dann noch die UAC ausgeschaltet, da kann man eigentlich nur den Kopf schütteln, vor allem wenn man dann noch versucht mit Zertifikaten die Sicherheit auf den Clients zu erhöhen ...
UAC erhöht nicht die Sicherheit, nur das Empfinden derselben.
Obwohl mit der Anmeldung eines "Domain-Admin" an einem nicht vertrauenswürdigen Client die Sicherheit schon vollkommen im A. ist und damit die gesamte Domain gefährdet ist.
Das ist m.E. Quatsch, was Du da schreibst. Mit einem Domänen-Benutzer kann man sich nur an einem Domänenmitglied anmelden. Warum sollte ein Domänenmitglied nicht vertrauenswürdig sein? Eher das Gegenteil ...Da wurde offensichtlich nicht konsequent zu Ende gedacht, sorry.
Von Dir jetzt, oder wie?Zitat von @emeriks:
Mit der Sicherheit allgemein.Zitat von @140913:
Und dazu dann noch die UAC ausgeschaltet, da kann man eigentlich nur den Kopf schütteln, vor allem wenn man dann noch versucht mit Zertifikaten die Sicherheit auf den Clients zu erhöhen ...
Was hat das Eine mit dem Anderen zu tun?Und dazu dann noch die UAC ausgeschaltet, da kann man eigentlich nur den Kopf schütteln, vor allem wenn man dann noch versucht mit Zertifikaten die Sicherheit auf den Clients zu erhöhen ...
UAC erhöht nicht die Sicherheit, nur das Empfinden derselben.
Ein Login eines "Domain-Admins" an einem Client der Domain dem man nicht vollkommen vertrauen kann (kann kompromitiert sein und Hashes abgreifen und somit im schlimmsten Fall die Domäne übernehmen), ist ein absolutes NO-GO. Domain-Admin-Konten verwendet man keinesfalls zur Wartung von Client-Rechnern dafür erstellt man sich optimalerweise temporär aktivierte lokale Admin-Konten und Accounts.Obwohl mit der Anmeldung eines "Domain-Admin" an einem nicht vertrauenswürdigen Client die Sicherheit schon vollkommen im A. ist und damit die gesamte Domain gefährdet ist.
Das ist m.E. Quatsch, was Du da schreibst. Mit einem Domänen-Benutzer kann man sich nur an einem Domänenmitglied anmelden. Warum sollte ein Domänenmitglied nicht vertrauenswürdig sein? Eher das Gegenteil ...Da wurde offensichtlich nicht konsequent zu Ende gedacht, sorry.
Von Dir jetzt, oder wie?Zitat von @140913:
Ein Login eines "Domain-Admins" an einem Client der Domain dem man nicht vollkommen vertrauen kann (kann kompromitiert sein und Hashes abgreifen und somit im schlimmsten Fall die Domäne übernehmen), ist ein absolutes NO-GO. Domain-Admin-Konten verwendet man keinesfalls zur Wartung von Client-Rechnern dafür erstellt man sich optimalerweise temporär aktivierte lokale Admin-Konten und Accounts.
Ganz anderes Thema, und in Deinen Steno-Kommentaren nicht erkennbar.Ein Login eines "Domain-Admins" an einem Client der Domain dem man nicht vollkommen vertrauen kann (kann kompromitiert sein und Hashes abgreifen und somit im schlimmsten Fall die Domäne übernehmen), ist ein absolutes NO-GO. Domain-Admin-Konten verwendet man keinesfalls zur Wartung von Client-Rechnern dafür erstellt man sich optimalerweise temporär aktivierte lokale Admin-Konten und Accounts.
Nö. Beschäftige dich mal mit GoldenTicket, Mimikatz&Co. dann verstehst du worauf ich hinaus will.
Da bin ich zuhause 
