14
Win7 lokale Admin-Rechte über GPO
Hallo
SBS 2011 Domäne, Win7 (64Bit) Clients. Auf dem DC wurde eine Gruppe "Domäne\Install-Recht" erfasst, in welcher Benutzer kurzzeitig hineingestellt werden können (zB um eine Software-Installation zu ermöglichen).
Die Gruppe "Domäne\Install-Recht" ist lokal der Gruppe Administratoren hinzugefügt
Dies hat die letzten Jahre gut funktioniert.
Nun funktioniert das bei einer einzelnen Workstation nicht mehr, bei 7 anderen immer noch tadellos.
Mir ist nicht bewusst, was da geändert wurde.
- Zugriffsrechte und Vererbungen verglichen
- Rechner aus Domäne entfernt, und wieder neu in Domäne aufgenommen
- Rechner in andere OU verschoben und wieder zurück (dazwischen mehrmals gpupdate /force und reboot des PC's)
- Gruppe "Domäne\Install-Recht" lokal aus der Admin-Gruppe entfernt und wieder hinzugefügt (ebenfalls gpupdate und reboot)
Leider soweit alles erfolglos.
Noch jemand eine Idee, wo man suchen könnte, bevor ich die ganze Workstation neu aufsetze??
Gruss Meierjo
SBS 2011 Domäne, Win7 (64Bit) Clients. Auf dem DC wurde eine Gruppe "Domäne\Install-Recht" erfasst, in welcher Benutzer kurzzeitig hineingestellt werden können (zB um eine Software-Installation zu ermöglichen).
Die Gruppe "Domäne\Install-Recht" ist lokal der Gruppe Administratoren hinzugefügt
Dies hat die letzten Jahre gut funktioniert.
Nun funktioniert das bei einer einzelnen Workstation nicht mehr, bei 7 anderen immer noch tadellos.
Mir ist nicht bewusst, was da geändert wurde.
- Zugriffsrechte und Vererbungen verglichen
- Rechner aus Domäne entfernt, und wieder neu in Domäne aufgenommen
- Rechner in andere OU verschoben und wieder zurück (dazwischen mehrmals gpupdate /force und reboot des PC's)
- Gruppe "Domäne\Install-Recht" lokal aus der Admin-Gruppe entfernt und wieder hinzugefügt (ebenfalls gpupdate und reboot)
Leider soweit alles erfolglos.
Noch jemand eine Idee, wo man suchen könnte, bevor ich die ganze Workstation neu aufsetze??
Gruss Meierjo
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 208963
Url: https://administrator.de/contentid/208963
Ausgedruckt am: 04.12.2024 um 08:12 Uhr
14 Kommentare
Neuester Kommentar
Evtl andere GPOs, die das Recht aufheben?
Hallo Manuel 1985
Danke für die fixe Antwort.
Kann ich mir nicht vorstellen, sonst würde es bei den anderen Workstations ja auch nicht funktionieren, oder??
Sind alle in derselben OU.
Gruss meierjo
Danke für die fixe Antwort.
Kann ich mir nicht vorstellen, sonst würde es bei den anderen Workstations ja auch nicht funktionieren, oder??
Sind alle in derselben OU.
Gruss meierjo
Hi
Was steht den im Eventlog der Maschine ? wurde die GPO übernommen ???
Lg Andy
Was steht den im Eventlog der Maschine ? wurde die GPO übernommen ???
Lg Andy
Hi!
d.h. der User ist in der Gruppe, hat aber keine Admin-Rechte?
funktioniert's wenn du den User selbst in die Admin-Gruppe nimmst?
kannst du dich lokal als Admin anmelden?
bzgl GPOs ist gpresult auch ganz praktisch.
sg Dirm
d.h. der User ist in der Gruppe, hat aber keine Admin-Rechte?
funktioniert's wenn du den User selbst in die Admin-Gruppe nimmst?
kannst du dich lokal als Admin anmelden?
bzgl GPOs ist gpresult auch ganz praktisch.
sg Dirm
Zitat von @Ausserwoeger:
Hi
Was steht den im Eventlog der Maschine ? wurde die GPO übernommen ???
Lg Andy
Hi
Was steht den im Eventlog der Maschine ? wurde die GPO übernommen ???
Lg Andy
Hi Andy
Beim anwenden von gpupdate /force wird korrekt protokolliert:
Anwendungsprotokoll:
SceCli 1704 Die Sicherheitsrichtlinie in den Gruppenrichtlinienobjekten wurde erfolgreich angewendet.
Systemprotokoll
GroupPolicy 1503
Die Gruppenrichtlinieneinstellungen für den Benutzer wurden erfolgreich verarbeitet. Es wurden neue 3-Gruppenrichtlinienobjekte erkannt und angewendet.
GroupPolicy 1502
Die Gruppenrichtlinieneinstellungen für den Computer wurden erfolgreich verarbeitet. Es wurden neue 4-Gruppenrichtlinienobjekte erkannt und angewendet.
Es scheint also, als würde die GPO übernommen.
Was mich allerdings an dieser Stelle wundert, dass er jedesmal neue Gruppenrichtlinienobjekte findet und anwendet (ist mir erst jetzt aufgefallen)
Könnte das auf einen Fehler hindeuten??
Gruss meierjo
Zitat von @Dirmhirn:
Hi!
d.h. der User ist in der Gruppe, hat aber keine Admin-Rechte?
funktioniert's wenn du den User selbst in die Admin-Gruppe nimmst?
kannst du dich lokal als Admin anmelden?
bzgl GPOs ist gpresult auch ganz praktisch.
sg Dirm
Hi!
d.h. der User ist in der Gruppe, hat aber keine Admin-Rechte?
funktioniert's wenn du den User selbst in die Admin-Gruppe nimmst?
kannst du dich lokal als Admin anmelden?
bzgl GPOs ist gpresult auch ganz praktisch.
sg Dirm
Hi Dirm
Auch wenn ich den User selbst in die Admin-Gruppe nehme, dasselbe Ergebnis.
GPresult kenne ich, dort wird mir angezeigt, welche Gruppenrichtlinien angewandt werden. Diese habe ich mit einer funktionierenden Workstation verglichen --< Identisch
Gruss meierjo
Hi!
kannst du die GPOs verwalten oder ist da jemand anders zuständig?
stimmen die mit gpresult überein?
mit gpupdate /force, werden ja immer alle neu angewendet, afaik.
Der lokale Admin Account funktioniert noch? kannst du neue Lokale Admins hinzufügen? Was wurde in letzter Zeit auf dem Gerät gemacht, wer wurde zuletzt als Admin eingetragen?
hast du alle GPOs durchgeschaut oder gpresult per Skript verglichen?
da wär wir doch eine Admin-Recht-Klau GPO aufgefallen?!
sg Dirm
kannst du die GPOs verwalten oder ist da jemand anders zuständig?
stimmen die mit gpresult überein?
mit gpupdate /force, werden ja immer alle neu angewendet, afaik.
Auch wenn ich den User selbst in die Admin-Gruppe nehme, dasselbe Ergebnis.
d.h. er hat keine Admin rechte auf der lokalen Maschine?Der lokale Admin Account funktioniert noch? kannst du neue Lokale Admins hinzufügen? Was wurde in letzter Zeit auf dem Gerät gemacht, wer wurde zuletzt als Admin eingetragen?
hast du alle GPOs durchgeschaut oder gpresult per Skript verglichen?
da wär wir doch eine Admin-Recht-Klau GPO aufgefallen?!
sg Dirm
Hallo Dirm
Die GPO's verwalte ich selbst. Ist nur eine kleine Domäne mit ~ 10 PC's.
Wenn ich die Ergebnisse von gpresult vergleiche, stimmen die überein.
Kann doch nicht sein, dass da eine "Admin-Recht-Klau-GPO" da ist, sonst wäre das ja bei den anderen Usern / PC's, bei denen die selben Grurili's angewendet werden, auch so.
Der lokale Admin Account funktioniert.
Wenn ich einen neuen Benutzer hinzufüge, und diesen der Gruppe Administratoren (lokal) hinzufüge, hat er auch keine Admin-Rechte,
zB keine Schreibrechte auf Root (Laufwerk c: ).
Gruss meierjo
Die GPO's verwalte ich selbst. Ist nur eine kleine Domäne mit ~ 10 PC's.
Wenn ich die Ergebnisse von gpresult vergleiche, stimmen die überein.
Kann doch nicht sein, dass da eine "Admin-Recht-Klau-GPO" da ist, sonst wäre das ja bei den anderen Usern / PC's, bei denen die selben Grurili's angewendet werden, auch so.
Der lokale Admin Account funktioniert.
Wenn ich einen neuen Benutzer hinzufüge, und diesen der Gruppe Administratoren (lokal) hinzufüge, hat er auch keine Admin-Rechte,
zB keine Schreibrechte auf Root (Laufwerk c: ).
Gruss meierjo
Hi
Da bei der übernahme der Gpos auch die Lokalen Sicherheitsrichtlinen übernommen werden würde ich mir die Lokalen Sicherheitsrichtlinien anschauen einfach gpedit.msc ausführen und die Richtlinie durchschauen.
Unter Windows einstellungen, Sicherheitseinstellungen, Lokale Richtlinien
findest du den punkt Zuweisen von benutzerrechten
Möglicherweise ist hier etwas verstellt.
Falls du hier selbst nichts eingestellt hast kannst du diese Richtlinien auch wiederherstellen um wieder den Standard zu haben.
http://support.microsoft.com/kb/313222/de
LG Andy
Da bei der übernahme der Gpos auch die Lokalen Sicherheitsrichtlinen übernommen werden würde ich mir die Lokalen Sicherheitsrichtlinien anschauen einfach gpedit.msc ausführen und die Richtlinie durchschauen.
Unter Windows einstellungen, Sicherheitseinstellungen, Lokale Richtlinien
findest du den punkt Zuweisen von benutzerrechten
Möglicherweise ist hier etwas verstellt.
Falls du hier selbst nichts eingestellt hast kannst du diese Richtlinien auch wiederherstellen um wieder den Standard zu haben.
http://support.microsoft.com/kb/313222/de
LG Andy
Hallo Andy
Sehr guter Hinweis, danke. Auf die Idee wär eich nie gekommen.
Habe mal Zuweisen von Benutzerrechten auf 2 verschiedenen PC's verglichen, da sind einige Unterschiede. Werde mir die Unterschiede mal genau anschauen, und veruchen, beide PC's auf den selben stand zu bringen.
ZB unter "lokal anmelden verweigern" ist ein Benutzer mit *S-1-5-21-1195156701-2440043727-4241708903-1006 eintragen. Ist das eine unbekannte (alte) Benutzer-ID?? Kann die entfernt / gelöscht werden??
Gruss meierjo
Sehr guter Hinweis, danke. Auf die Idee wär eich nie gekommen.
Habe mal Zuweisen von Benutzerrechten auf 2 verschiedenen PC's verglichen, da sind einige Unterschiede. Werde mir die Unterschiede mal genau anschauen, und veruchen, beide PC's auf den selben stand zu bringen.
ZB unter "lokal anmelden verweigern" ist ein Benutzer mit *S-1-5-21-1195156701-2440043727-4241708903-1006 eintragen. Ist das eine unbekannte (alte) Benutzer-ID?? Kann die entfernt / gelöscht werden??
Gruss meierjo
Zitat von @Meierjo:
ZB unter "lokal anmelden verweigern" ist ein Benutzer mit *S-1-5-21-1195156701-2440043727-4241708903-1006 eintragen. Ist
das eine unbekannte (alte) Benutzer-ID?? Kann die entfernt / gelöscht werden??
ZB unter "lokal anmelden verweigern" ist ein Benutzer mit *S-1-5-21-1195156701-2440043727-4241708903-1006 eintragen. Ist
das eine unbekannte (alte) Benutzer-ID?? Kann die entfernt / gelöscht werden??
Hi
Das ist eine SID eines Benutzers der im AD nicht mehr vorhanden ist. Da es den benutzer bereits nicht mehr gibt wirst du diesen entfernen können.
LG Andy
Hallo Andy
Habe die lokalen Sicherheitsrichtlinien mit einem "funktionierenden PC" abgeglichen --> kein Erfolg
Rechner nochmals aus der Domäne genommen, und neu aufgenommen --> gpupdate --> mehrmaliges Rebooten --> keine Besserung
Dann mittels secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb die Sicherheitseinstellungen lokal zurückgestzt --> hat einige Fehlermeldungen ausgeworfen
*
Warnung 5: Zugriff verweigert Fehler beim Einstellen der Sicherheit auf machine\software\classes.
Warnung 5: Zugriff verweigert Fehler beim Einstellen der Sicherheit auf machine\software\microsoft\windows.
Warnung 5: Zugriff verweigert Fehler beim Einstellen der Sicherheit auf machine\software\microsoft\windows\currentversion.
Konfiguration der Registrierungsschlüssel wurde erfolgreich abgeschlossen.
Dateisicherheit wird konfiguriert...
Konfigurieren von c:\program files\common files\speechengines\microsoft\tts.
Warnung 2: Das System kann die angegebene Datei nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\program files\common files\speechengines\microsoft\tts.
Konfigurieren von c:\programdata\microsoft\windows\drm.
Konfigurieren von c:\programdata\microsoft\windows\drm\cache.
Konfigurieren von c:\windows\repair\default.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\default.
Konfigurieren von c:\windows\repair\ntuser.dat.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\ntuser.dat.
Konfigurieren von c:\windows\repair\sam.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\sam.
Konfigurieren von c:\windows\repair\security.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\security.
Konfigurieren von c:\windows\repair\software.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\software.
Konfigurieren von c:\windows\repair\system.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\system.
Konfigurieren von c:\windows\system32\windows media.
Warnung 2: Das System kann die angegebene Datei nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\system32\windows media.
Konfigurieren von c:\windows\syswow64\export.
Warnung 2: Das System kann die angegebene Datei nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\syswow64\export.
Konfigurieren von c:\windows\syswow64\ias.
Warnung 2: Das System kann die angegebene Datei nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\syswow64\ias.
Konfiguration der Dateisicherheit wurde erfolgreich abgeschlossen.
ebenfalls keine Besserung.
Noch eine Idee (ausser Format C:
??
Gruss meierjo
Habe die lokalen Sicherheitsrichtlinien mit einem "funktionierenden PC" abgeglichen --> kein Erfolg
Rechner nochmals aus der Domäne genommen, und neu aufgenommen --> gpupdate --> mehrmaliges Rebooten --> keine Besserung
Dann mittels secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb die Sicherheitseinstellungen lokal zurückgestzt --> hat einige Fehlermeldungen ausgeworfen
*
Warnung 5: Zugriff verweigert Fehler beim Einstellen der Sicherheit auf machine\software\classes.
Warnung 5: Zugriff verweigert Fehler beim Einstellen der Sicherheit auf machine\software\microsoft\windows.
Warnung 5: Zugriff verweigert Fehler beim Einstellen der Sicherheit auf machine\software\microsoft\windows\currentversion.
Konfiguration der Registrierungsschlüssel wurde erfolgreich abgeschlossen.
Dateisicherheit wird konfiguriert...
Konfigurieren von c:\program files\common files\speechengines\microsoft\tts.
Warnung 2: Das System kann die angegebene Datei nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\program files\common files\speechengines\microsoft\tts.
Konfigurieren von c:\programdata\microsoft\windows\drm.
Konfigurieren von c:\programdata\microsoft\windows\drm\cache.
Konfigurieren von c:\windows\repair\default.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\default.
Konfigurieren von c:\windows\repair\ntuser.dat.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\ntuser.dat.
Konfigurieren von c:\windows\repair\sam.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\sam.
Konfigurieren von c:\windows\repair\security.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\security.
Konfigurieren von c:\windows\repair\software.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\software.
Konfigurieren von c:\windows\repair\system.
Warnung 3: Das System kann den angegebenen Pfad nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\repair\system.
Konfigurieren von c:\windows\system32\windows media.
Warnung 2: Das System kann die angegebene Datei nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\system32\windows media.
Konfigurieren von c:\windows\syswow64\export.
Warnung 2: Das System kann die angegebene Datei nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\syswow64\export.
Konfigurieren von c:\windows\syswow64\ias.
Warnung 2: Das System kann die angegebene Datei nicht finden.
Fehler beim Einstellen der Sicherheit auf c:\windows\syswow64\ias.
Konfiguration der Dateisicherheit wurde erfolgreich abgeschlossen.
ebenfalls keine Besserung.
Noch eine Idee (ausser Format C:
??Gruss meierjo
Hallo
Nachdem leider keine Vorschläg mehr gekommen sind, habe ich das Problem gelöst, indem ich den PC neu aufgesetzt habe.
Danke für eure Mithilfe und Vorschläge
Gruss meierjo
Nachdem leider keine Vorschläg mehr gekommen sind, habe ich das Problem gelöst, indem ich den PC neu aufgesetzt habe.
Danke für eure Mithilfe und Vorschläge
Gruss meierjo
Hi
Leider hatte ich keine zeit mehr zu schreiben. Allerdings war format C die schnellste lösung denke ich.
LG Andy
Leider hatte ich keine zeit mehr zu schreiben. Allerdings war format C die schnellste lösung denke ich.
LG Andy
