rolf14
Goto Top

WIndows 10 Zeit vom User ändern lassen in 2016 Domain

Hallo Leute,

ich habe mal eine Frage. Ein User muss die Zeit seines PC´s selber ändern können. Der PC steckt in einer WIndows 2016 Domain. Bei dem Client PC handelt es sich um einen WIndows 10 1803.
Ich habe nun in den Gruppenrichtglinien unter Computerkonfiguration - Windows Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuweisen von Benutzerrechten - Ändern der Systemzeit
Den Benutzer hinzugefügt der die Zeit ändern darf.
Jedoch greift diese Regel leider nicht. Kann mir je4mand helfen wo der Fehler sien könnte?

Hab die Regel natürlich mit der Domain verknüpft, PC mehrmals neu gestartet und auch gpupdate /force ausgeführt. Aber alles ohne Erfolg.

Grüße Rolf

Content-Key: 397719

Url: https://administrator.de/contentid/397719

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: erikro
erikro 10.01.2019 um 09:47:19 Uhr
Goto Top
Moin,

Zitat von @Rolf14:
ich habe mal eine Frage. Ein User muss die Zeit seines PC´s selber ändern können.

Nein, muss er nicht. face-wink In der Domain holt sich der PC seine Zeit regelmäßig vom PDC-Emulator. Deshalb darf der User die Zeit auch nicht verstellen. In der Domain ist es zwingend notwendig, dass sie Uhren synchron sind, da sonst das Kerberos-Ticket-System nicht mehr funktioniert und Fehlermeldungen produziert werden, die einen richtig verwirren können.

Was wäre denn der Grund dafür, dass der User das selbst ändern soll?

Liebe Grüße

Erik
Mitglied: Rolf14
Rolf14 10.01.2019 um 09:58:35 Uhr
Goto Top
Hallo,

danke für die Infos. Ich weiß das allerdings, dennoch muss dieser eine User die Systemzeit von dem einzlenen PC verstellen dürfen. Leider weiß ich den Grund auch nicht antwort vom User und meinem Chef " Das geht mich nichts weiter an "
Ich führe also nur aus. Kannst du mir helfen?
Mitglied: grill-it
grill-it 10.01.2019 um 10:02:00 Uhr
Goto Top
Zitat von @Rolf14:

Hallo,

danke für die Infos. Ich weiß das allerdings, dennoch muss dieser eine User die Systemzeit von dem einzlenen PC verstellen dürfen. Leider weiß ich den Grund auch nicht antwort vom User und meinem Chef " Das geht mich nichts weiter an "
Ich führe also nur aus. Kannst du mir helfen?

Dem Chef sagen:
"Geht nicht, weil ist nicht."

Alternativ: das Gerät aus der Domäne werfen...


LG, Manu
Mitglied: chgorges
chgorges 10.01.2019 aktualisiert um 10:30:32 Uhr
Goto Top
Zitat von @grill-it:
Dem Chef sagen:
"Geht nicht, weil ist nicht."

Alternativ: das Gerät aus der Domäne werfen...

Jup, in ner Domäne ist man nicht bei Wünsch dir was, daheim an den privaten Geräten schon...

Auch wenn das nicht das ist, was du brauchst oder evtl. auch hören magst, aber Domänenregel ist Domänenregel.
Mitglied: Rolf14
Rolf14 10.01.2019 um 10:36:09 Uhr
Goto Top
Klar versteh ich ja auch, es gibt ja aber eine Domain Regel um dem User genau das zu gestatten. Sie greift nur nicht.
Über den Sinn des ganzen würde ich mir mal keine Gedanken machen.
Mitglied: itisnapanto
itisnapanto 10.01.2019 um 10:45:46 Uhr
Goto Top
Zitat von @Rolf14:

Klar versteh ich ja auch, es gibt ja aber eine Domain Regel um dem User genau das zu gestatten. Sie greift nur nicht.
Über den Sinn des ganzen würde ich mir mal keine Gedanken machen.


Moin moin ,

WAS greift denn nicht ?
Was sagt gpresult /r ?

Gruss
Mitglied: NixVerstehen
NixVerstehen 10.01.2019 um 14:21:02 Uhr
Goto Top
Mahlzeit,

kein Client oder User hat an der Uhrzeit zu drehen! Wenn das als notwendig erachtet wird, ist der Ansatz der Problemlösung schon nicht richtig. Als Jugendlicher hat man so einen Murks mal gemacht, um den Nutzungszeitraum von irgendwelchen Spiele-Demos künstlich zu verlängern.

Schreib doch einfach mal WARUM das notwendig ist, dann gibt es sicher einige Leute hier, die dir helfen können.

Gruß NV

P.S.: Wer hat an der Uhr gedreht, ist es wirklich schon so spät... (Wer es nicht kennt: Wer hat an der Uhr gedreht...)

Gruß NV
Mitglied: erikro
erikro 10.01.2019 um 14:48:18 Uhr
Goto Top
Moin,

Zitat von @Rolf14:

danke für die Infos. Ich weiß das allerdings, dennoch muss dieser eine User die Systemzeit von dem einzlenen PC verstellen dürfen. Leider weiß ich den Grund auch nicht antwort vom User und meinem Chef " Das geht mich nichts weiter an "

Toller Chef. Wasch mich, aber mach mich nicht nass. face-wink Ich frage mich ernsthaft, warum denn ein User die richtig gehende Uhr vertellen können sollte.

Ich führe also nur aus. Kannst du mir helfen?

Nein, denn wie in der Beschreibung der GPO steht:

"Mit diesem Benutzerrecht wird festgelegt, welche Benutzer und Gruppen die Uhrzeit und das Datum der internen Uhr des Computers ändern können. Benutzer, denen dieses Benutzerrecht zugewiesen ist, können die Darstellung von Ereignisprotokollen ändern. Wenn die Systemzeit geändert wird, wird in den protokollierten Ereignissen diese neue Uhrzeit widergespiegelt und nicht die Uhrzeit, zu der die Ereignisse tatsächlich eingetreten sind."

Das einzige, was Du Deinem Chef klarmachen solltest, ist die Tatsache, dass der User nach Verstellen der Uhr keinen Zugriff mehr auf die Ressourcen der Domain mehr hat, da seine Kerberos-Tickets immer als ungültig abgelehnt werden. Wenn der User damit leben kann, dann kann man den Rechner und den User auch ganz aus der Domain entfernen und ihm das Recht lokal geben. Ansonsten ist das weder sinnvoll noch m. W. möglich.

Liebe Grüße

Erik
Mitglied: nEmEsIs
nEmEsIs 10.01.2019 um 16:38:57 Uhr
Goto Top
Hi

Versucht der MA die Buchhaltung zu manipulieren oder aber hat er sich ne Demo installiert und um diese zu nutzen dreht er die Uhr zurück das diese geht.
Man man man.
Geht es um die Uhr oder das Datum?
Weil beides nicht gut in ner Domain.

Was gehen sollte ist wenn es nur die Uhr ist die Zeitzone zu ändern...

Mit freundlichen Grüßen Nemesis
Mitglied: Rolf14
Rolf14 10.01.2019 um 16:47:02 Uhr
Goto Top
Hat sich erledigt danke für eure Antowrten und Hilfe.
Mitglied: erikro
erikro 10.01.2019 um 16:57:54 Uhr
Goto Top
Moin,

Versucht der MA die Buchhaltung zu manipulieren oder aber hat er sich ne Demo installiert und um diese zu nutzen dreht er die Uhr zurück das diese geht.
Man man man.

Sowas wird es wohl sein. Nur dass er dann kein Zugriff mehr auf die Buchhaltungssoftware hat, weil der Server den Datenbankzugriff ablehnt. face-wink

Liebe Grüße

Erik