Hi Leute,
hoffentlich kleben jetzt nicht gerade alle vor dem Fernseher
Vor ein paar Tagen hat ein Server eines Kunden angefangen sich selbständig zu machen. Es handelt sich um einen W2K3-R2 Server (Memberserver, WTS) mit aktuellem Patch-Stand.
Jede Nacht, bzw. nach jedem Neustart setzt er "willkürlich" irgendwelche Richtlinien um, die niemand definiert hat.
So sind z.B. alle Laufwerkssymbole im Arbeitsplatz ausgeblendet und der Zugriff auf die Laufwerke über den Windows Explorer verboten. Die Suchfunktion ist deaktiviert und sämtliche NTFS Berechtigungen auf dem Systemdatenträger werden analog der Sicherheitsrichtlinien-Vorlage "Setup-Security" zurückgesetzt.
Ich habe alle relevanten GPOs sowie die lokale Sicherheitsrichtlinie überprüft. Nirgendwo sind derartige Einschränkungen definiert.
Als Notlösung habe ich erstmal die "sichtbaren" Effekte in der lokalen Sicherheitsrichtlinie des Terminalservers "negiert" (Suchen deaktivieren >> deaktiviert, Alle Laufwerkssymbole ausblenden >> deaktiviert usw.)
Nun kämpfe ich noch an den NTFS Berechtigungen, die sich jeden Morgen wie von Geisterhand im Auslieferungszustand befinden.
Auf dem WTS laufen ein paar kleine Programme, die das Ändern-Recht in ihrem jeweiligen Programmordner verlangen. Das ist nicht schön, aber ohne Umdenken bei den Softwarehäusern nicht zu ändern. Dummerweise wurden die damals unter %Programfiles% installiert.
Der Server setzt nun jede Nacht unter anderem die NTFS Berechtigungen auf C:\Programme\ und alle Unterordner auf Default zurück. Das Ändern Recht auf z.B. C:\Programme\Elster-Formular\... ist damit weg.
Bedeutet für mich jeden Morgen für 3-4 Programmordner die NTFS Rechte anpassen bevor die User zur Arbeit kommen.
Das ist ****...
Es scheint so, als würde jemand nächtlich die Setup-Security drüberbraten, welche o.a. die NTFS Rechte zurücksetzt, und anschließend den Desktop für den unbedarfen Terminal-User mit überzogenen Restriktionen "unbrauchbar" machen.
Wie kann der Server sowas machen?
Ich habe keine Idee mehr.
Hoffe euch fällt was Passendes ein (ausser platt und neu
).
PS: Vorgeschichte...
Das Ganze fing übrigens an, nachdem ich die NTFS Berechtigungen auf der System-Root (C:\) angepasst habe.
Dort gab es per Default eine "speizelle Berechtigung", die es der Benutzergruppe erlaubt hat, direkt in der Root neue Dateien und Ordner zu erstellen. Die Berechtigung galt für C:\ ohne Unterordner.
Den ACL Eintrag habe ich entfernt, damit die Benutzer ihre Daten in den dafür vorgesehenen Freigaben speichern, anstatt auf meinem Systemdatenträger.
Schöne Grüße,
Jens
