nebuchad
Goto Top

Verschieden Verhaltensweisen in der Domäne

Hallo,

im Firmennetzwerk bei uns sind ganz normale User einer GPO zugeteilt, diese jedoch verhält sich seltsamerweise unterschiedlich.

Es sind ca. 30 Clients im Netzwerk angemeldet bei ca 10 erscheint folgende Meldung wenn man z.B. die IP Adresse ändern möchte: IP Adresse ändern ist nur ein Beispiel - es geht um alle Administrativen Aufgaben

1657c2209e24a02b9dd700db7089dc91

bei den anderen kommt das:

b6a9944d37fdc05dac0ab6eaff17667e

Erste Meldung ist für mich komplett neu diese kannte ich vorher noch nicht bewusst. Letzte ist die für mich gewohnte Meldung bei Arbeiten ohne Administrative Berechtigungen.
Die Benutzerkontensteuerung ist überall gleich konfiguriert, nur eben leider die Reaktion nicht.

Allgemein kann ich dazu noch sagen, dass es sogar Benutzer in der Domäne gibt welche mit identischen Rechten komplette Administrationsberechtigungen haben. Laut GPO's jedoch gleichgestellt sind.

Zum Verständnis: In der Firma gab es einen Admin der vor 15 Monaten gekündigt hatte. Seitdem durfte jeder mal ran weil man versucht hatte das ganze ohne Admin am laufen zu halten. nach einem Jahr hat man sich dann dafür entschieden, dass man doch besser auf einen Admin zurückgreift.
Der bin jetzt ich.

Grüße

Content-ID: 252270

Url: https://administrator.de/contentid/252270

Ausgedruckt am: 26.11.2024 um 05:11 Uhr

DerWoWusste
DerWoWusste 17.10.2014 um 10:38:48 Uhr
Goto Top
Hi.

Das Verhalten mit den IPs ist erklärbar: wenn die UAC aus ist, kommt keine UAC-Abfrage, sondern nur "darfste nicht".
Allgemein kann ich dazu noch sagen, dass es sogar Benutzer in der Domäne gibt welche mit identischen Rechten komplette Administrationsberechtigungen haben.
Was soll das bedeuten? Sind diese Nutzer denn in der lokalen Admingruppe drin bzw. in Gruppen, die in dieser Admingruppe enthalten sind? Scheint so.
Nebuchad
Nebuchad 17.10.2014 um 10:46:12 Uhr
Goto Top
Ja leider ist die UAC nicht aus war eben auch mein ersten und auch einziger Gedanke dazu habe es an 3 Rechnern geprüft die UAC ist an.

Nein die paar Benutzer bei denen es so ist sind ebenfalls Domänenuser mit identischen GPO's wie alle anderen ohne Adminrechten.
DerWoWusste
Lösung DerWoWusste 17.10.2014 aktualisiert um 14:01:19 Uhr
Goto Top
Das kann nicht sein. Prüfe genauer.
Was passiert denn an diesen UAC-AN-Rechnern, wenn Du beispielsweise eine Datei direkt unter c: erstellen willst (Rechtsklick - neu) - wird das angeboten?
Was passiert, wenn Du in den taskplaner gehst - kommt da eine UAC Abfrage als Nutzer? Kommt eine als Admin?

die paar Benutzer bei denen es so ist sind ebenfalls Domänenuser mit identischen GPO
Lass die GPOs mal außen vor und prüfe den Inhalt der Admingruppe. Und gib genauere Antwort auf meine Frage nach der Bedeutung - was meinst Du mit "komplette Adminberechtigungen"? Weil - halbe gibt es eh nicht face-wink
Chonta
Lösung Chonta 17.10.2014 aktualisiert um 14:01:18 Uhr
Goto Top
Hallo,

die können aber per Hand in die Logale Gruppe der Adinistratoren auf dem Rechner hinzugefügt worden sein.
GPO sind schön aber LSDOU gillt trozdem.
Und gerade wenn es eine Zeit gab in der jeder mal was machen durfte würd ich mich nicht drauf verlassen das keiner die Gruppen Lokal an Clients barbeitet hat.
Per GPO kannste zwar alles überschrieben, aber solange die GPO einen Eintrag als nicht konfiguriert ausliefert gilt das was die lokalen Richtlinien gerne hätten.

Gruß

Chonta
Nebuchad
Nebuchad 17.10.2014 aktualisiert um 11:21:57 Uhr
Goto Top
So habe bei allen betroffenen Rechnern mit dem Lokaladministrator die UAC Deaktiviert-Aktiviert und dazwischen neu gestartet - jetzt scheint es wirklich zu gehen .... Danke - Hatte nach Reaktivierung keinen Reboot gemacht. - UAC Problem scheint gelöst.

Das mit dem Admin aber nicht:
Du meinst den Inhalt der Lokalen Admingruppe am Client? Also das ein Domänenbenutzer der lokalen Admingruppe zugeteilt wurde?
Ich meine einfach nur Adminberechtigung - war nur schlecht formuliert ;)

OK werde ich auch in der Mittagspause prüfen wenn die Rechner frei sind sonst mach ich mir hier noch Feinde face-smile
Ich dachte immer die GPO überschreiben alles andere -.-
Chonta
Chonta 17.10.2014 aktualisiert um 11:27:37 Uhr
Goto Top
Hallo,

Computerverwaltung > PC auswählen > System>Lokale Benutzer und Gruppen

Musst nicht von deiner WS weg face-smile
Ja GPO überschrieben alles andere, ABER nur wenn etwas gesetzt wird! Wenn in einer GPO steht nicht Kinfiguriert aber in der Lokalenrichtlinie steht HansPeterMaier dürfen, dann Dürfen die das solange bist in der GPO an selber Stelle gesagt wird Nur Hans darf, dann ist der Rest draußen.
Ein nicht Konfiguriert in einer GPO bedeutet wird nicht verarbeitet und im Normalfall bedeutet das Default werte, wenn diese aber durch wo anders gesetzt werden geht das die GPO nix an.


Gruß

Chonta
Nebuchad
Nebuchad 17.10.2014 um 11:55:18 Uhr
Goto Top
Leider muss ich doch weg weil Remote leider nicht funktioniert ... da stimmen die GPO's wieder nicht bzw. die Snap-In's fehlen...
Chonta
Chonta 17.10.2014 um 12:02:05 Uhr
Goto Top
Gruß,

dann per GPO die Remotregistry / Remotverwaltung einschalten (zumindest Remoteverwaltung)

Gruß

Chonta
Nebuchad
Nebuchad 17.10.2014 um 13:22:01 Uhr
Goto Top
Welcher Dienst ist das genau will hier nix schlimmer machen als es eh schon ist - habe es in der Mittagspause am Platz gemacht und Ihr hattet recht der Nutzer war lokal als Admin eingetragen.

Prinzipiell ist alles erledigt nur das mit dem Remote hätte ich für die Zukunft schon gerne face-smile