Zum Inhalt wechseln


Foto

Gruppenrichtlinien werden nicht übernommen

Active Directory

  • Bitte melde dich an um zu Antworten
40 Antworten in diesem Thema

#16 Gadget

Gadget

    Moderator

  • 5.088 Beiträge

 

Geschrieben 06. Januar 2006 - 22:49

Hi neobender,

Was ich eigentlich erwarte/möchte:

Nun eigentlich ganz einfach. Meine Benutzer sollen uneingeschränkt zugriff auf die Registrierungsdatenbank (regedit) haben und auf ihre C:\ Partition. Wobei ich letzeres noch nicht eingestellt habe.


Sry hast du jemals schon was von Sicherheitsstrategien gehört. Hast du den Sinn von Systemrechten verstanden?

Das ist definitiv die verrückteste Idee die ich 2006 bisher gehört habe. Lass die Anwender als Benutzer (nicht Hauptbenutzer o. geschweige den Admins) u. erstelle bei denen die erweiterte Rechte benötigen einfach einen weiteren "Lokalen Administrator"

Bitte mal hier lesen:
http://www.mcseboard...ead.php?t=66853

LG Gadget

Konfuzius sagt: Fordere viel von dir selbst und erwarte wenig von den anderen. So wird dir Ärger erspart bleiben.

Kohn.blog


#17 Christoph35

Christoph35

    Expert Member

  • 3.624 Beiträge

 

Geschrieben 06. Januar 2006 - 22:49

@IT-Home: Hehe... kenn ich das Gefühl :D

@Kohn: Sicherheitsstrategien: Das hab ich mich allerdings auch gefragt....

Christoph
MCSE+M+S, VCP, MCITP Enterprise Admin.
Always look on the bright side of life!

#18 neobender

neobender

    Newbie

  • 35 Beiträge

 

Geschrieben 06. Januar 2006 - 23:04

Es ist mir klar das das Arbeiten unter Administratorenrechten eine potentielle Gefahr darstellt, deswegen will ich auch eine Domäne einführen.

Allerdings will ich auch nicht meine täglichen Arbeiten gefährden, und suchte daher erst einen Weg um den "alten Stand" wiederherzustellen, um von dort aus dann eine "vernünftige" Konfiguration zu erstellen.

Nunja ich bin mithilfe von einigen Google Suchbegriffen scheinbar auf einen Fehler gestoßen, den ich gemacht hab. Ich habe auf den Clients keinen DNS Eintrag auf dem Domänenserver gemacht.

Mache ich nun ein gpupdate so bekomme ich auch ein Ergebnis bei gpedit, und einige meiner Testrichtlinien werden übernommen.

Ich bedanke mich schon mal bei allen die mir versucht haben zu helfen ;-)

#19 Christoph35

Christoph35

    Expert Member

  • 3.624 Beiträge

 

Geschrieben 06. Januar 2006 - 23:09

Allerdings will ich auch nicht meine täglichen Arbeiten gefährden, und suchte daher erst einen Weg um den "alten Stand" wiederherzustellen, um von dort aus dann eine "vernünftige" Konfiguration zu erstellen.


Ich hoffe dass Dir das gelingt, aber es wird schwer sein, das den Usern wieder abzugewöhnen...

Besser wäre es, mit dem Principle of least privilege zu arbeiten und von da aus die Berechtigungen soweit zu erweitern wie nötig.

Christoph
MCSE+M+S, VCP, MCITP Enterprise Admin.
Always look on the bright side of life!

#20 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 06. Januar 2006 - 23:10

Nunja ich bin mithilfe von einigen Google Suchbegriffen scheinbar auf einen Fehler gestoßen, den ich gemacht hab. Ich habe auf den Clients keinen DNS Eintrag auf dem Domänenserver gemacht.


Das ist hier aber auch schon von Edgar in #9 empfohlen worden ... ;)
Ich bin S-1-5-XXX-500, ich darf das ...

#21 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 07. Januar 2006 - 06:48

Hallo neobende, von mir ein Willkommen am Board. :)

[Ich bin absoluter Anfänger auf diesem Gebiet. Scheut euch aber trozdem nicht zu Posten

Bei der Geburt waren wir alle nackig und danch begann das Lernen. Schon in der ersten Schulklasse hatte ich eine Fibel. Sowas hatte ich auch später in der Ausbildung, bei der Bundeswehr, im ..., bis heute. Zum Aneignen von Grundlagenwissen, von Verfahrensweisen, als Nachschlagewerk ist Lesestoff unverzichtbar. Das sage ich dir als pädagogisch Erfahrener.

Beschaffe dir also Lesestoff im Buchhandel, im Web, im Technet. Hier im Forum müssten unter Tipps und Tricks einige (Link)-Sammlungen zum SBS existieren.

Wofür willst du die Domäne nutzen, als Versuchs- und Spielwiese (habe ich auch :D ), geschäftlich, beruflich? Bei den beiden letzten Punkten kommt es meist auf die Schnelligkeit der Bereitstellung, auf die Funktionsfähigkeit an.

http://www.sbspraxis.de/

Viel Erfolg

Edgar

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#22 neobender

neobender

    Newbie

  • 35 Beiträge

 

Geschrieben 07. Januar 2006 - 15:10

@lefg:
Ich will es beruflich Benutzen


Nun jetzt hab ich noch ein Problem, meine Clients brauchen Zugriff auf die Registry:

HKEY_CLASSES_ROOT -> funktioniert
HKEY_CURRENT_USER -> funktioniert
HKEY_LOCAL_MACHINE -> funktioniert nicht
HKEY_USERS -> funktioniert nicht
HKEY_CURRENT_CONFIG -> funktioniert nicht

Im Gruppenrichtlinienobjekt-Editor habe ich in der Computerconfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Registrierung/
Die Schlüssel CLASSES_ROOT, MACHINE und USERS eingefügt außerdem habe ich versucht die GptTmpl.inf mit den fehlenden Schlüsseln zu erweitern:

"HKEY_CLASSES_ROOT",0,"D:PAR(A;CI;KA;;;BA)(A;CI;KA;;;BU)(A;CI;KA;;;CO)(A;CI;KA;;;WD)(A;CI;KA;;;SY)(A;CI;KA;;;S-1-5-21-620551079-1098276707-3644237389-1140)"
"HKEY_CURRENT_USER",0,"D:PAR(A;CI;KA;;;BA)(A;CI;KA;;;BU)(A;CI;KA;;;CO)(A;CI;KA;;;WD)(A;CI;KA;;;SY)(A;CI;KA;;;S-1-5-21-620551079-1098276707-3644237389-1140)"
"HKEY_LOCAL_MACHINE",0,"D:PAR(A;CI;KA;;;BA)(A;CI;KA;;;BU)(A;CI;KA;;;CO)(A;CI;KA;;;WD)(A;CI;KA;;;SY)(A;CI;KA;;;S-1-5-21-620551079-1098276707-3644237389-1140)"
"HKEY_USERS",0,"D:PAR(A;CI;KA;;;BA)(A;CI;KA;;;BU)(A;CI;KA;;;CO)(A;CI;KA;;;WD)(A;CI;KA;;;SY)(A;CI;KA;;;S-1-5-21-620551079-1098276707-3644237389-1140)"
"HKEY_CURRENT_CONFIG",0,"D:PAR(A;CI;KA;;;BA)(A;CI;KA;;;BU)(A;CI;KA;;;CO)(A;CI;KA;;;WD)(A;CI;KA;;;SY)(A;CI;KA;;;S-1-5-21-620551079-1098276707-3644237389-1140)"


allerdings ohne Erfolg, was ich fast vermutet hatte, gibt es noch einen anderen Weg?

#23 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 07. Januar 2006 - 15:19

.....Nun jetzt hab ich noch ein Problem, meine Clients brauchen Zugriff auf die Registry

Hm..., deine Clients? Wer ist das, deine Rechner, deine User?

Entschuldige, falls ich zu penetrant frage.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#24 Gadget

Gadget

    Moderator

  • 5.088 Beiträge

 

Geschrieben 07. Januar 2006 - 15:21

Hi Neobender,

allerdings ohne Erfolg, was ich fast vermutet hatte, gibt es noch einen anderen Weg?


ja die Einstellung ändern => Die brauchen keinen Zugriff darauf... das ist ein fataler Irrtum.
Die Berechtigungen die, die Gruppe "Benutzer" bietet sollten aussreichen.

Falls nicht liegt es an der Anwendung u. du musst zu Drittherstellersoftware
(z.B. Desktopstandard Policymaker Application Security; www.desktopstandard.com)

greifen o. nur explicit die Berechtigung des Unterschlüssel ändern auf welche die Applikation zugreifen muss.

Helfen können dir dabei die Tools: Filemon u. Regmon von http://www.sysinternals.com

U. noch eine Sache.. das "Non-Admin-Thema" ist nicht auf meinen Mist gewachsen falls du mir nicht glaubst:

http://msmvps.com/bl...2/30/28434.aspx

http://msmvps.com/bl...7/22/59250.aspx

u. das ganze is nicht irgendeine Nebensache, sondern die wichtigste Sicherheitsmaßnahme überhaupt imho genauso wichtig wie ein Virenscanner u. eine Firewall!

LG Gadget

Konfuzius sagt: Fordere viel von dir selbst und erwarte wenig von den anderen. So wird dir Ärger erspart bleiben.

Kohn.blog


#25 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 07. Januar 2006 - 15:24

Ich ahne, was da los ist.

Da sind Anwendungen, die für den Einzelplatzrechner mit dem Hauptbenutzer als Anwender gebaut sind.

Ist das so?

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#26 neobender

neobender

    Newbie

  • 35 Beiträge

 

Geschrieben 07. Januar 2006 - 15:40

@Kohn

Ja ich nehme das ernst und meine Clients haben nun keine Adminrechte mehr, und natülich galube ich dir ;-)

@lefg

1. Jup ich meine die Rechner, die sich mit Benutzernamen anmelden die ich gerade versuche zu berechtigen.

2. Ja das siehst du richtig ich habe Jede menge Software die Zugriff auf die registry braucht, allerdings jetzt her zu gehen und jeden Schlüssel freizuschalten währe mir jetzt auch zu viel Aufwand, zumal ich nicht weis welches Programm noch auf die Registry zugeifen muss und wo, d.h. suche ich nach einen Weg alle Rootschlüssel freizugeben, wobei mir die Sicherheit (auch wenn viele das anders sehen) erstmal zweitrangig eine Rolle spielt, mir gehts erstmal darum so zu Arbeiten wie bisher, jedoch mit einer Domäne.

#27 Gadget

Gadget

    Moderator

  • 5.088 Beiträge

 

Geschrieben 07. Januar 2006 - 15:51

@Neobender

Ok wenn die Sicherheit keine Rolle spielt gib ihnen "Lokale Administratorrechte" per Gruppenrichtlinie u. das ganze funkt genauso wie ohne Domäne:

Was darf ein "Lokaler Admin":
http://www.gruppenri...er_darf_was.htm

Wie kann ich per Policy meine Benutzer (Gruppe "Domänenbenutzer") der Gruppe "Administratoren" auf den lokalen Maschinen hinzufügen:

Geht ganz einfach per Feature "Eingeschränkte Gruppen" (Die Übersetzung is ein bisserl Unglücklich hat mit Einschränkungen eigentlich nicht Direkt was zu tun):

http://www.gruppenri...echtigungen.htm

LG Gadget

Konfuzius sagt: Fordere viel von dir selbst und erwarte wenig von den anderen. So wird dir Ärger erspart bleiben.

Kohn.blog


#28 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 07. Januar 2006 - 16:17

Ja das siehst du richtig ich habe Jede menge Software die Zugriff auf die registry braucht, allerdings jetzt her zu gehen und jeden Schlüssel freizuschalten währe mir jetzt auch zu viel Aufwand, zumal ich nicht weis welches Programm noch auf die Registry zugeifen muss und wo, d.h. suche ich nach einen Weg alle Rootschlüssel freizugeben, wobei mir die Sicherheit (auch wenn viele das anders sehen) erstmal zweitrangig eine Rolle spielt, mir gehts erstmal darum so zu Arbeiten wie bisher, jedoch mit einer Domäne.

Sicherheit ist ein vorrangiges Gut.

Ich leiste ungern groben Verstössen Vorschub.

Ohne Sicherheit besteht die Gefahr, überhaupt nicht mehr arbeiten zu können.

Für das Problem gibt es mehrere Lösungsansätze.

Eines ist das Kontaktieren des Softwareherstellers.

Manchmal geht es wohl nicht anders.

Eine andere ist, den Schlüssel mit dem Regedit zu bearbeiten (rechte Maustaste, Berechtigungen)
Schau dir mal das Programm subinacl an!

Wie das mit der Gruppenrichtlinie geht, weiss ich im Moment nicht.

Kohn hat es schon empfolen, temporäre Adminrechte.

Über eingeschränkte Gruppen in Hauptbenutzer aufnehmen.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#29 neobender

neobender

    Newbie

  • 35 Beiträge

 

Geschrieben 07. Januar 2006 - 17:01

Wenn ich das nach der Beschreibung mache bemerke ich leider keinen unterschied, wie kann ich nachprüfen ob ich jetzt lokala Adminrechte habe oder Hauptbenutzer bin?

#30 neobender

neobender

    Newbie

  • 35 Beiträge

 

Geschrieben 07. Januar 2006 - 17:03

Achja: mit gpresult habe ich es versucht:


[...]

Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen:
-----------------------------------------------------------
TestGruppe
Jeder
Benutzer
INTERAKTIV
Authentifizierte Benutzer
LOKAL


Leider sehe ich dort nicht das ich Administrator bin oder Haupbenutzer



Auch mit einem oder mehreren der folgenden Tags versehen: Active Directory