joeyschweiz
Goto Top

WIN 8 - Benutzer verliert lokale Adminrechte nach Neustart - SBS 2003 Domain

Hallo Zusammen,

freue mich auf Tips und vielleicht sogar eine Lösung.

Server - SBS 2003
Clients WIN 7 Pro und neu 2 x WIN 8 Pro.


Der eine Client wurde von WIN 7 Pro auf 8 Pro upgegradet, der 2. ist von Haus aus WIN 8 Pro.
Beide sind in der Domain und eigentlich keine "schmerzen".


Die User sollen lokale Adminrechte haben, entsprechend wurden die User zur Liste dr lokalen Admins hinzugefügt,
was bei WIN 7 / XP bis Dato immer gut funktioniert hat. Jetzt ist es aber so, dass die 2 Clients die Adminrechte nicht dauerhaft behalten. Es scheint als würden nach jedem Neustart die Rechte entzogen.


Eine GPO in dieser Hinsicht existiert nicht und die WIN 7 Clients (gleiche Nutzer getestet / haben dies Problem nicht)


Kennt jemand vielleicht dieses Problem oder hat einen Tip?


Grüäsli

M.

Content-ID: 201412

Url: https://administrator.de/contentid/201412

Ausgedruckt am: 24.11.2024 um 16:11 Uhr

Datenreise
Datenreise 07.02.2013 um 19:28:38 Uhr
Goto Top
Hallo Joey,

warum "scheint" es denn so, als hätten sie keine administrativen Rechte mehr? Dieser Zustand lässt sich doch eigentlich präzise bestimmen?

Ich gehe davon aus, dass lokal auf den Windows-8-Rechnern ein Admin-Konto anlegt unter Angabe der Domäne und des identischen Usernamens wie in der Domäne. Das ist jedenfalls der Weg bei Windows 7 bzw. XP.

Existiert dieses lokale Konto denn nach dem Reboot nicht mehr?
joeyschweiz
joeyschweiz 08.02.2013 um 07:44:45 Uhr
Goto Top
Hallo Datenreise,

das "scheint" bezog sich eher auf <nach jedem Neustart> nicht auf die Rechte.
Da ich nur via Fernwartung derzeit auf das Netz zugreifen kann, fehlen mir noch ein paar Test.

Die Domain Benutzer werden auf den lokalen Rechnern der Gruppe Administratoren zugefügt.
Min. bis zum Neustart sind sie dort auch vorhanden und haben entsprechende Rechte.

Entweder nach Neustart oder gewisser Zeit (gilt noch zu testen) sind die User nicht mehr in der Gruppe Administratoren.


Gruss
DerWoWusste
DerWoWusste 08.02.2013 um 10:36:47 Uhr
Goto Top
Hi.

Du kannst in der lokalen Überwachungsrichtlinie einstellen, dass Kontenmanagement überwacht wird. Somit kannst Du sichtbar machen, wer oder was wann dort Änderungen macht.
Vermutlich irrst Du und es ist doch eine GPO (restricted groups) oder ein GPO-Skript. Du solltest mal einen Gruppenrichtlinienergebnissatz am Server erzeugen, dort erst steht alles drin.
joeyschweiz
joeyschweiz 08.02.2013 um 10:45:45 Uhr
Goto Top
Hi und danke.

dann werde ich mal das Kontomanagement überwachen.

Interessant ist nur, das die gleichen User auf WIN7 Pro Clients nicht degradiert werden.
2 weitere WIN8 Clients haben dieses Problem auch nicht.

Wenn es eine GPO gäbe müsste sich das hier auch auswirken.


Vielleicht gibts ja noch mehr Tips, bin erst Ende der nächsten Woche Vor-Ort (ist nicht branteilig)

Grüsse und schönes Wochenende
Datenreise
Datenreise 08.02.2013 um 12:20:40 Uhr
Goto Top
Mir fällt spontan auch kein Grund ein, warum einige Windows-8-Systeme eine GPO umsetzen sollten, welche von allen anderen Maschinen ignoriert wird. Allerdings klingt es -wie DerWoWusste ja bereits schrieb- gerade durch das Auftreten des Problems nach Neustarts genau danach.

Interessant wäre noch zu wissen, in welche Art Konto die Admin-Konten denn transformiert werden.
Ist es plötzlich ein Konto mit dem ursprünglichen Namen sowie dem dafür gesetzten Passwort, welches aber plötzlich nur noch "Benutzer" ist?
DerWoWusste
DerWoWusste 08.02.2013 um 12:35:48 Uhr
Goto Top
Moin Datenreise. Am Client kannst Du diese Konten nicht transformieren, es sind Domänenbenutzer.
joeyschweiz
joeyschweiz 08.02.2013 um 12:56:08 Uhr
Goto Top
Die User sind in der Domaine "normale" Benutzer.
Da die Clients mehr oder weniger selbst verwaltet werden sollen, hatten die User unter WIN 7 lokale Administrator Rechte.
Jetzt gab es 3 neue Clients mit WIN 8 Pro und ein Client wurde von Win7 auf 8 Pro geupdated.

Die Benutzer wurden nicht verändert, nur auf den Clients wurden die Domain Benutzer in die Gruppe lokale Administratoren aufgenommen. Bei 2 WIN8 Cleints gibt es keine Fehler. Der Win 8 und der Upgegradete WIN 8 haben jetzt den Fehler.


Grüsse
Datenreise
Datenreise 08.02.2013 um 13:18:07 Uhr
Goto Top
Zitat von @DerWoWusste:
Moin Datenreise. Am Client kannst Du diese Konten nicht transformieren, es sind Domänenbenutzer.

Hallo DWW, vollkommen korrekt, ich wollte sie auch nicht transformieren, hatte es nur so verstanden, dass sie (von GPO, den Illuminaten, wasauchimmer) beim Neustart automatisch transformiert würden.

Ich hatte aber auch einen Denkfehler drin, da wir gar nicht von "wirklich" lokalen Konten sprechen, sondern offenbar von der lokalen Gruppenzugehörigkeit des Domänenkontos.


@joey: Um aus meinem Missverständnis einen möglichen Lösungsansatz zu machen: Melde dich mit dem Domänen-Admin an den betroffenen Systemen an. Erstelle dort ein (lokales) administratives neues Konto, welches den gleichen Namen trägt, wie das Domänenkonto des Nutzers. Bei "Domäne" trägst du simpel den Namen der Domäne ein.

Normalerweise sollte der User jetzt lokaler Admin sein, ohne dass sich an seinen Rechten in der Domäne etwas ändern.
joeyschweiz
joeyschweiz 08.02.2013 um 13:23:03 Uhr
Goto Top

@joey: Um aus meinem Missverständnis einen möglichen Lösungsansatz zu machen: Melde dich mit dem Domänen-Admin
an den betroffenen Systemen an. Erstelle dort ein (lokales) administratives neues Konto, welches den gleichen Namen trägt,
wie das Domänenkonto des Nutzers. Bei "Domäne" trägst du simpel den Namen der Domäne ein.

Normalerweise sollte der User jetzt lokaler Admin sein, ohne dass sich an seinen Rechten in der Domäne etwas ändern.



Danke - werde ich in der nächsten Woche testen. Vermutlich erst am Freitag.

Grüsse und schönes Wochenende

Joey
joeyschweiz
joeyschweiz 04.03.2013 um 10:37:04 Uhr
Goto Top
Hoi,

ich habe jetzt auf beiden Systemen lokale Konten für die Benutzer angelegt mit Admin-Rechten.
Lokal angemeldet haben diese User auch alle Rechte.

Zusätzlich habe ich mich erneut mit dem Domain-Admin auf den Clients angemeldet und den Domain User zur Gruppe lokaler Administratoren hinzugefügt. Abmelden und als User anmelden und der User hat die Rechte des lokalen Admins.

Nach dem Neustart ist der User die Rechte wieder los. Der gleiche User auf einen WIN7 rechner, zur Gruppe lokale Admins hinzugefügt und er bleibt es auch nach Neustart oder auch einigen Tagen.

EIne Richtlinie kann es doch nicht sein oder? Dann würde der WIN7 Client doch ebenfalls die Rechte wieder entfernen und nicht nur auf dem WIN 8 Client?

Komm nicht wirklich weiter - derzeit hat der "vorarbeiter" ein Installadmin Konto login - sofern es gebraucht wird.


Ideen?


Grüsse und Danke
DerWoWusste
DerWoWusste 04.03.2013 um 20:57:50 Uhr
Goto Top
Keine neuen Ideen, bevor Du nicht erst das mit der Überwachung von Konten machst.