WIndows 2003 aus Management Console ausgesperrt
Hallo,
Ich wollte einem Hauptbenutzer auf meinem Windows 2003 Server das Recht geben das er Dienste starten und beenden darf!
Allerdings habe ich dabei nicht bedacht das wenn ich das über die gpedit.msc mache das es auch für den Admin zählt!
Nachdem ich ein gpupdate /force gemacht habe kann ich nun als Admin keine Snap Ins mehr öffnen außer halt das Snap in für die Dienste!
Ich habe unter der gpedit.msc folgende Sachen aktiviert:
Benutzer Konfiguration / Administrative Vorlagen / Windows Komponenten / Microsoft Management Console / Eingeschränkte & Zugelassene Snap-Ins / Dienste = aktiviert
und
Benutzer Konfiguration / Administrative Vorlagen / Windows Komponenten / Microsoft Management Console / Benutzer auf die Verwendung von zugelassenen Snap-Ins beschränken = aktiviert
Danke für die Hilfe
Ich wollte einem Hauptbenutzer auf meinem Windows 2003 Server das Recht geben das er Dienste starten und beenden darf!
Allerdings habe ich dabei nicht bedacht das wenn ich das über die gpedit.msc mache das es auch für den Admin zählt!
Nachdem ich ein gpupdate /force gemacht habe kann ich nun als Admin keine Snap Ins mehr öffnen außer halt das Snap in für die Dienste!
Ich habe unter der gpedit.msc folgende Sachen aktiviert:
Benutzer Konfiguration / Administrative Vorlagen / Windows Komponenten / Microsoft Management Console / Eingeschränkte & Zugelassene Snap-Ins / Dienste = aktiviert
und
Benutzer Konfiguration / Administrative Vorlagen / Windows Komponenten / Microsoft Management Console / Benutzer auf die Verwendung von zugelassenen Snap-Ins beschränken = aktiviert
Danke für die Hilfe
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 125003
Url: https://administrator.de/forum/windows-2003-aus-management-console-ausgesperrt-125003.html
Ausgedruckt am: 23.12.2024 um 12:12 Uhr
5 Kommentare
Neuester Kommentar
hi,
nach deinem beschriebenen vorgehen hast du die lokale richtlinie am DC geändert. die findest du in der registry wieder, also run-->cmd-->regedit:
Registry Key: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
wenn du dich dort ein wenig umsiehst, findest du den entsprechenden eintrag und kannst die beschränkung einfach wieder auf 0 setzen...
grüße
run cmd
nach deinem beschriebenen vorgehen hast du die lokale richtlinie am DC geändert. die findest du in der registry wieder, also run-->cmd-->regedit:
Registry Key: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
wenn du dich dort ein wenig umsiehst, findest du den entsprechenden eintrag und kannst die beschränkung einfach wieder auf 0 setzen...
grüße
run cmd
dann sind die daten wohl in der lokalen datenbank secedit.sdb gelandet, zu finden unter %SystemRoot%\security\Database
änderungen an dieser werden aber, soweit ich weiss, erst in die edb.chk im verzeichnis darüber gespeichert und beim nächsten start der maschine in die secedit.sdb gespeichert.
erst wenn dass passiert ist, könntest du mit hilfe von secedit den inhalt der DB exportieren, abändern und wieder importieren.
exportieren (ausgehend davon du befindest dich in %SystemRoot%\security\Database):
secedit /export /db secedit.sdb /cfg test.cfg /mergedpolicy
in der nun angelegten cfg könnte der eintrag die snapins betreffend stehen.
importieren kannst du das ganze dann wieder mit:
secedit /import /db secedit.sdb /cfg test.cfg /overwrite
das ganze ohne gewähr, da ich keinen server parat habe, um das ganze mal nachzubauen. ausserdem folgendes bedenken:
ohne gültige secedit.sdb könnte dein server vlt. nicht mehr hochfahren.
spekulation:
vielleicht könntest du auch von deinem backupserver die secedit.sdb kopieren, die kiste durchstarten und du bist wieder aus dem schneider...
leider nicht so ganz mein spezialgebiet, vlt. findet sich hier noch jemand...
änderungen an dieser werden aber, soweit ich weiss, erst in die edb.chk im verzeichnis darüber gespeichert und beim nächsten start der maschine in die secedit.sdb gespeichert.
erst wenn dass passiert ist, könntest du mit hilfe von secedit den inhalt der DB exportieren, abändern und wieder importieren.
exportieren (ausgehend davon du befindest dich in %SystemRoot%\security\Database):
secedit /export /db secedit.sdb /cfg test.cfg /mergedpolicy
in der nun angelegten cfg könnte der eintrag die snapins betreffend stehen.
importieren kannst du das ganze dann wieder mit:
secedit /import /db secedit.sdb /cfg test.cfg /overwrite
das ganze ohne gewähr, da ich keinen server parat habe, um das ganze mal nachzubauen. ausserdem folgendes bedenken:
ohne gültige secedit.sdb könnte dein server vlt. nicht mehr hochfahren.
spekulation:
vielleicht könntest du auch von deinem backupserver die secedit.sdb kopieren, die kiste durchstarten und du bist wieder aus dem schneider...
leider nicht so ganz mein spezialgebiet, vlt. findet sich hier noch jemand...