neobender

Wenn ich das nach der Beschreibung mache bemerke ich leider keinen unterschied, wie kann ich nachprüfen ob ich jetzt lokala Adminrechte habe oder Hauptbenutzer bin?

@Kohn

 

Ja ich nehme das ernst und meine Clients haben nun keine Adminrechte mehr, und natülich galube ich dir ;-)

 

@lefg

 

1. Jup ich meine die Rechner, die sich mit Benutzernamen anmelden die ich gerade versuche zu berechtigen.

 

2. Ja das siehst du richtig ich habe Jede menge Software die Zugriff auf die registry braucht, allerdings jetzt her zu gehen und jeden Schlüssel freizuschalten währe mir jetzt auch zu viel Aufwand, zumal ich nicht weis welches Programm noch auf die Registry zugeifen muss und wo, d.h. suche ich nach einen Weg alle Rootschlüssel freizugeben, wobei mir die Sicherheit (auch wenn viele das anders sehen) erstmal zweitrangig eine Rolle spielt, mir gehts erstmal darum so zu Arbeiten wie bisher, jedoch mit einer Domäne.

@lefg:

Ich will es beruflich Benutzen

 

 

Nun jetzt hab ich noch ein Problem, meine Clients brauchen Zugriff auf die Registry:

 

HKEY_CLASSES_ROOT -> funktioniert

HKEY_CURRENT_USER -> funktioniert

HKEY_LOCAL_MACHINE -> funktioniert nicht

HKEY_USERS -> funktioniert nicht

HKEY_CURRENT_CONFIG -> funktioniert nicht

 

Im Gruppenrichtlinienobjekt-Editor habe ich in der Computerconfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Registrierung/

Die Schlüssel CLASSES_ROOT, MACHINE und USERS eingefügt außerdem habe ich versucht die GptTmpl.inf mit den fehlenden Schlüsseln zu erweitern:

 

"HKEY_CLASSES_ROOT",0,"D:PAR(A;CI;KA;;;BA)(A;CI;KA;;;BU)(A;CI;KA;;;CO)(A;CI;KA;;;WD)(A;CI;KA;;;SY)(A;CI;KA;;;S-1-5-21-620551079-1098276707-3644237389-1140)"

"HKEY_CURRENT_USER",0,"D:PAR(A;CI;KA;;;BA)(A;CI;KA;;;BU)(A;CI;KA;;;CO)(A;CI;KA;;;WD)(A;CI;KA;;;SY)(A;CI;KA;;;S-1-5-21-620551079-1098276707-3644237389-1140)"

"HKEY_LOCAL_MACHINE",0,"D:PAR(A;CI;KA;;;BA)(A;CI;KA;;;BU)(A;CI;KA;;;CO)(A;CI;KA;;;WD)(A;CI;KA;;;SY)(A;CI;KA;;;S-1-5-21-620551079-1098276707-3644237389-1140)"

"HKEY_USERS",0,"D:PAR(A;CI;KA;;;BA)(A;CI;KA;;;BU)(A;CI;KA;;;CO)(A;CI;KA;;;WD)(A;CI;KA;;;SY)(A;CI;KA;;;S-1-5-21-620551079-1098276707-3644237389-1140)"

"HKEY_CURRENT_CONFIG",0,"D:PAR(A;CI;KA;;;BA)(A;CI;KA;;;BU)(A;CI;KA;;;CO)(A;CI;KA;;;WD)(A;CI;KA;;;SY)(A;CI;KA;;;S-1-5-21-620551079-1098276707-3644237389-1140)"

 

allerdings ohne Erfolg, was ich fast vermutet hatte, gibt es noch einen anderen Weg?

Es ist mir klar das das Arbeiten unter Administratorenrechten eine potentielle Gefahr darstellt, deswegen will ich auch eine Domäne einführen.

 

Allerdings will ich auch nicht meine täglichen Arbeiten gefährden, und suchte daher erst einen Weg um den "alten Stand" wiederherzustellen, um von dort aus dann eine "vernünftige" Konfiguration zu erstellen.

 

Nunja ich bin mithilfe von einigen Google Suchbegriffen scheinbar auf einen Fehler gestoßen, den ich gemacht hab. Ich habe auf den Clients keinen DNS Eintrag auf dem Domänenserver gemacht.

 

Mache ich nun ein gpupdate so bekomme ich auch ein Ergebnis bei gpedit, und einige meiner Testrichtlinien werden übernommen.

 

Ich bedanke mich schon mal bei allen die mir versucht haben zu helfen ;-)

 

[...]

 

BENUTZEREINSTELLUNGEN

----------------------

CN=Administrator,CN=Users,DC=go-S3,DC=Datenserver

Letzte Gruppenrichtlinienanwendung: 06.01.2006, um 20:47:35

Gruppenrichtlinieanwendung von: datenserver.go-S3.Datenserver

Schwellenwert fr langsame Verbindung:500 kbps

Dom„nenname: GO-S3

Dom„nentyp: Windows 2000

 

Angewendete Gruppenrichtlinienobjekte

--------------------------------------

Default Domain Policy

 

Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.

----------------------------------------------------------------------

Small Business Server-Kontosperrungsrichtlinie

Filterung: Deaktiviert (Gruppenrichtlinienobjekt)

 

Small Business Server-Clientcomputer

Filterung: Nicht angewendet (Leer)

 

Small Business Server-Windows-Firewall

Filterung: Verweigert (WMI-Filter)

WMI-Filter: PostSP2

 

Small Business Server-Remoteuntersttzungsrichtlinie

Filterung: Deaktiviert (Gruppenrichtlinienobjekt)

 

Small Business Server-Dom„nenkennwortrichtlinie

Filterung: Nicht angewendet (Leer)

 

Small Business Server-Internetverbindungsfirewall

Filterung: Verweigert (WMI-Filter)

WMI-Filter: PreSP2

 

Richtlinien der lokalen Gruppe

Filterung: Nicht angewendet (Leer)

 

Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen

----------------------------------------------------------

Dom„nen-Benutzer

Jeder

Administratoren

Benutzer

INTERAKTIV

Authentifizierte Benutzer

Diese Organisation

LOKAL

Dom„nen-Admins

Richtlinien-Ersteller-Besitzer

Organisations-Admins

SBS Mobile Users

SBS Report Users

Schema-Admins

ORA_DBA

 

Mache ich das jedoch mit dem neu eingerichteten Benutzern:

 

gpresult /USER go-S3\Testuser

 

so kommt folgendes Ergebnis:

 

INFORMATION: Benutzer "go-S3\Testuser" hat keine RSOP-Daten.

Folgenden Befehl habe ich ausgeführt:

gpresult /USER go-S3\Administrator

 

und lieferte folgendes Ergebnis:

 

 

Betriebssystem Microsoft ® Windows ® Gruppenrichtlinienergebnis-Tool v2.0

Copyright © Microsoft Corp. 1981-2001

 

Am 06.01.2006, um 22:17:14 erstellt

 

 

 

RSOP-Daten fr GO-S3\Administrator auf DATENSERVER: Protokollmodus

-------------------------------------------------------------------

 

Betriebssystemtyp: Microsoft® Windows® Server 2003 fr Small Business Server

Betriebssystemkonfiguration: Prim„rer Dom„nencontroller

Betriebssystemversion: 5.2.3790

Terminalservermodus: Remoteverwaltung

Standortname: Standardname-des-ersten-Standorts

Zwischengespeichertes Profil:

Lokales Profil: C:\Dokumente und Einstellungen\Administrator

Langsame Verbindung? Nein

 

 

COMPUTEREINSTELLUNGEN

----------------------

CN=DATENSERVER,OU=Domain Controllers,DC=go-S3,DC=Datenserver

Letzte Gruppenrichtlinienanwendung: 06.01.2006, um 22:13:35

Gruppenrichtlinieanwendung von: datenserver.go-S3.Datenserver

Schwellenwert fr langsame Verbindung:500 kbps

Dom„nenname: GO-S3

Dom„nentyp: Windows 2000

 

Angewendete Gruppenrichtlinienobjekte

--------------------------------------

Small Business Server-šberwachungsrichtlinie

Default Domain Controllers Policy

Small Business Server-Clientcomputer

Small Business Server-Remoteuntersttzungsrichtlinie

Small Business Server-Kontosperrungsrichtlinie

Small Business Server-Dom„nenkennwortrichtlinie

Default Domain Policy

 

Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.

----------------------------------------------------------------------

Small Business Server-Windows-Firewall

Filterung: Verweigert (WMI-Filter)

WMI-Filter: PostSP2

 

Small Business Server-Internetverbindungsfirewall

Filterung: Verweigert (WMI-Filter)

WMI-Filter: PreSP2

 

Richtlinien der lokalen Gruppe

Filterung: Nicht angewendet (Leer)

 

Der Computer ist Mitglied der folgenden Sicherheitsgruppen

----------------------------------------------------------

Administratoren

Jeder

Benutzer

Windows-Autorisierungszugriffsgruppe

NETZWERK

Authentifizierte Benutzer

Diese Organisation

DATENSERVER$

Dom„nencontroller

DOMŽNENCONTROLLER DER ORGANISATION

RAS- und IAS-Server

 

[...]

Also ich weis jetzt wo die Sachen gespeichert werden und konfiguriert werden. Aber wie kann ich den überprüfen ob eine Richtlinie übernommen wurde oder nicht?? Denn wenn ich mir auf dem Client die adm files (C:\Windows\Inf) ansehe bzw. das Änderungsdatum mit der auf dem Server vergleiche dann sehe ich es sind nicht die selben sondern die alten, die von anfang an drauf waren. Also irgenswas stimmt nicht

So nach meinen recherchen scheint ein OU eine Organisationeinheit zu sein. Jedoch habe ich die "Organisationseinheit-Benutzer" mit einem "rechtsklick -> neu -> Organisationseinheit" auf dem Active Directory erstellt.

@McMurphy

Ich habe dem Gruppenrichtlinienobjekt eine Gruppe zugeordnet

 

Zitat:

"...In dem Gruppenrichtlinienobjekt habe ich als einzige Gruppe die „Testgruppe“ eingetragen..."

 

Ich hoffe das ist so richtig

 

@Hirgelzwift

 

sry aber ich verstehe die Abkürzungen nicht, jedenfalls noch nicht ;-)

Server:

 

MS Windows Server 2003 SBS

 

Clients:

 

Windows XP Professional. Waren vor der Einführung einer Domäne in einer Arbeitsgruppe und i.d.R. mit Administrator rechten versehen

 

Meine bisherige Konfiguration:

 

Ich habe auf dem Server im Active Directory Benutzer angelegt und diesen Nutzern habe ich eine Gruppe zugeordnet („Testgruppe“). Die neuen Benutzer und neuen Gruppen befinden sich in der Organisationseinheit „Benutzer“. In der Gruppenrichtlinienverwaltung habe ich in der Organisationseinheit ein neues Gruppenrichtlinienobjekt erstellt („XP-Benutzer“). In dem Gruppenrichtlinienobjekt habe ich als einzige Gruppe die „Testgruppe“ eingetragen. Im Gruppenrichtlinien-Editor habe ich unter „Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Registrierung“ alle drei Hauptschlüssel hinzugefügt. Dabei habe ich auch die „Testgruppe“ ausgewählt und Vollzugriff vergeben, und danach die Option „Vererbbare Berechtigung an alle Unterschlüssel übermitteln“ ausgewählt. Außerdem habe ich unter „Benutzerkonfiguration\Windows-Einstellungen\Skripts (Start/Herunterfahren)“ ein Skript unter Starten eingestellt. „\\[servername]\NETLOGON\Test.bat“.

 

 

Nun zu meinem Problem:

 

Leider musste ich feststellen, das die Clients keinen Zugriff auf die Registrierungsdatenbank haben, und mein Testskript wurde auch nicht ausgeführt. Ich habe den Eindruck, dass die Gruppenrichtlinien, die ich einstelle nicht berücksichtigt werden.

 

Was ich eigentlich erwarte/möchte:

 

Nun eigentlich ganz einfach. Meine Benutzer sollen uneingeschränkt zugriff auf die Registrierungsdatenbank (regedit) haben und auf ihre C:\ Partition. Wobei ich letzeres noch nicht eingestellt habe.

 

Zu meiner Person

 

Ich bin absoluter Anfänger auf diesem Gebiet. Scheut euch aber trozdem nicht zu Posten