Neomis

Also in der Domäne,in der ich hier gerade arbeite bin ich simpler User und es funktioniert.

Dazu kommt noch ein Zitat von Microsoft selbst:

"Benutzer

Die Gruppe "Benutzer" stellt die sicherste Umgebung zur Ausführung von Programmen dar. Bei einem mit NTFS formatierten Datenträger sind die Standardsicherheitseinstellungen eines neu eingerichteten (nicht aber eines aktualisierten) Systems so konzipiert, dass Mitglieder dieser Gruppe nicht negativ auf die Integrität des Betriebssystems und der installierten Anwendungen einwirken können. Die Benutzer können weder Einstellungen in der Registrierung noch Betriebssystem- oder Programmdateien bearbeiten. Ein Benutzer kann zwar eine Arbeitsstation herunterfahren, nicht jedoch einen Server. Benutzer können lokale Gruppen zwar erstellen, sind jedoch nur zur Verwaltung der lokalen Gruppen berechtigt, die von ihnen selbst erstellt wurden. Benutzer können zertifizierte Windows 2000-Programme ausführen, die von Administratoren installiert bzw. eingesetzt wurden. Sie haben die volle Kontrolle über alle eigenen Datendateien (%userprofile%) und ihren Teil in der Registrierung (HKEY_CURRENT_USER)."

Quelle

Bleibt doch die Frage im Raum stehen: Wenn normale Benutzer Gruppen alegen können, liegt dich die Vermutung nahe, dass es auch mit Benutzern geht.

Wo ist deine Dokumentation?

...so die Theorie, aber in der Praxis sieht das anders aus. Du setzt 2000 zu sehr mit 2003 gleich. Am besten überzeugst du dich selbst davon.

Aber wenn selbst Microsoft-Mitarbeiter nicht wissen, was Windows so alles fabriziert, woher soll ich das dann wissen oO -> Interessant

Frage 1:

und zwar haben wir folgendes Problem bei einer Schule. Obwohl im Benutzerprofil hinterlegt ist Kennwort läuft nie ab. Läuft es nach 40 Tagen ab. Wo ist die Einstellung noch hinterlegt?

Wenn's ne Domäne ist (was ich mal stark vermute ;) ) in den Gruppenrichlinien der Domäne

Frage 2:

Kann man z.B einer Gruppe Lehrer Rechte geben nur die Kennwörter der Schüler zu ändern und nicht die der anderen Benutzer?

Hm...gute Frage...hab ich noch nie ausprobiert.

Da denkst du definitiv falsch.

Unter 2000 kannst du auch ganz bequem ím Arbeitsplatz nach lusrmgr.msc suchen und diese ausführen, solange das nicht vom Admin unterbunden wird. Bei 2003 wird es wohl genau anders herum sein.

Prominentestes Beispiel:

Erstellst du eine Freigabe unter 2000 vergibt Windows automatisch Vollzugriff für "jeder". Unter 2003 gibt's hier nur Lese-Zugriff .

Wie gesagt, ich hab das Spielchen zu Demonstrationszwecken schon in 2000er Domänen praktiziert.

Aber wahrscheinlich hat Microsoft in 2003 diese Lücke geschlossen.

Hm...mit IE 6 funktionierts. Vielleicht mal die Sicherheitseinschränkungen in den Internetoptionen durchforsten.

So auf die schnelle, kann ich dir da zwar nicht behilflich sein, aber vielleicht findest du ja hier was: Gruppenrichtlinien - Übersicht, FAQ und Tutorials

Wie gesagt, ich weis nicht genau wie sich das in nem 2003er Umfeld verhält, daher kann ich nur von ner Win200 Domäne sprechen.

ich versuch das jetzt mal detailliert zu schilder, falls ich dabei gegen geltende Boardregeln verstosse möge man es mir nachsehen ;) :

Situation:

User01@dom01 (normaler User ohne Sonderrechte) meldet sich an seinem APC Rechner01@dom01 an. Der Administrator der Dom01 hat das Ausführen von Skript-Dateien nicht unterbunden, da die benötigten Netzlaufwerke per Logon-skript eingebunden werden. User01 erstellt eine neue Textdatei in der er folgenden Code einfügt:

net user local local /add

net localgroup Hauptbenutzer local /add

cscript ie.vbs

das speichert er dann als ie.bat ab.

Als nächstes erstellt User01 erneut eine neue Textdatei und fügt diesen Code ein:

Option explicit

Dim oShell

set oShell= Wscript.CreateObject("WScript.Shell")

oShell.Run "runas /user:%computername%\local ""C:\programme\internet explorer\IEXPLORE.EXE"""

Wscript.Quit

Diese speichert er dann als ie.vbs.

Führt User01 jetzt die ie.bat aus, wird der IE als Benutzer local gestartet und der Zugriff auf Laufwerk C: ist uneingeschränkt möglich.

Das ist wie gesagt nur eine Möglichkeit ein simples "Ausblenden" zu umgehen.

Was für eine Fehlermeldung kommt denn ?

und bastele nicht auf diese Weise rum :

Was haben Windows-eigene Administrationsmittel bitte mit "basteln" zu tun!?

Für RUNAS wird auch ein berechtigtes Konto benötigt. Wenn der User solch ein Konto kennt, nützt keine NTFS-Berechtigung mehr irgendwas ...

Das Bezog sich auf mein "Ich-sitz-zuhause-nicht-in einem-Domänenumfeld-experiement". Da ich zu faul zum ab-und wieder anmelden bin, eignet sich runAs.

Also alle meine XPs aus der Tüte raus installiert haben diese Berechtigung auf c:\Windows nicht.

Naja, ich ha zuhause jedenfalls keine Domäne. Dazu kommt, wie ich schon erwähnt hab,

Bei 2003 weiss ich's nicht genau...

Bei Win2000 ist es z.B. so, dass man als normaler User im Domänenumfeld leicht per Batch-skript (falls nicht deaktiviert, meist aber wg. Netzlaufwerken aktiv) einen lokalen Benutzer anlegen, diesen in die Gruppe der Hauptbenutzer hinzufügen kann und ein VB-sripkt welches den IE per runAs starten kann. Und schon hab ich als "normaler User" massig Möglichkeiten. Sowas gar nicht erst möglich zu machen meinte ich mit meiner obigen "Bastelei"

Bei meinem Fall geht es um Windows XP SP2. (in einer W2K3 Domaene)

Vor dem Setzen der oben schon angegebenen Berechtigungen ist es

Problemlos moeglich Ordner auf c:\ anzulegen.

Und das will ich wie auch in c:\windows und c:\programme moeglichst vermeiden.

Aber ohne das dabei Teile des Systems zu Spinnen anfangen.

 

ciao

Stefan:wq

Also, jetzt genug gespielt :D

Mal im ernst: Sicherlich kannst du in Teilen die Schreibberechtigung entziehen. Aber es ist sehr mühsam die Ordner bei denen du es darfst und bei denen nicht zu selektieren. einen falschen Ordner erwischt und die Anmeldung funktioniert schon nicht mehr.

Da würde ich eher mit diversen GPs versuchen, das laufwerk auszublenden und umwege wie RunAs, IE, CMD, Verknüpfungen etc. zu versperren

Was meinst du mit " .... und dem runas-Service ..."?

Auch bekannt als "Ausführen als". Kennst bestimmt ;)

Und dann hast du keinen Standard user gehabt, oder kein Standard XP. Oder du hast genau in die Ausnahme geschrieben, wo der user darf.

Aber sicher. Ganz normaler User in nem ganz normalen XP.

Wo hast du denn den Ordner/die Dateio hingespeichert?

Is wurscht. Kannst unter C:\Windows oder tiefer.

Und schau oder poste doch mal die NTFS-Berechtigungen deines Windows ordner an ....

Ok, du kommst nich drauf :D Microsoft gibt zwar keinen direkten Schreibzugriff, ABER...

du hast die Speziellen Berechtigungen übersehen! Da wird dem "Otto-Normal-Benutzer" das erstellen von Ordnern und schreiben von Daten sehr wohl gestattet. Du kannst dem Benutzer ja mal testweise das Recht entziehen, allerdings wird dann wohl nicht mehr viel gehen. Wenn ich mich recht entsinne, scheitert es dann schon an der Anmeldung.

Screen

Wenn du über eine Policy Laufwerk C ausblendest, kommt der Benutzer auch nicht mit einer Verknüpfung drauf!

Ausnahme: Einige Stellen in Office 97 erlauben den Zugriff auf C:

Bei Win2000 funktioniert das definitiv. Bei 2003 weiss ich's nicht genau, aber er hat ja auch kein Sys genannt.

Ich weiss das, weil ich die Lücke letzt erst selbst unserem Admin vorgeführt hab !!

Rechtsklick -> Neu -> Verknüpfung -> C: -> oO

Auf Windows und Programme gibt nicht mal Microsoft selber dem User Schreibzugriff (außer einem Unterordner und ein oder zwei Dateien im Wndows). Warum sollte man das also tun.

Ist das so?

Hm..ich hätte schwören können, dass ich als normaler user problemlos im Ordner "Windows" einen neuen Ordner oder ne textdatei oder sonst was erstellen kann...

Und tatsächlich: Ein kurzer Test mit einem eingeschränkten Account in WinXP, dem herrlich tief im System verankerten internet explorer und dem runAs-service bestätigt meine Theorie. Wenn ich also Dateien in besagtem Ordner erstelle, dann "schreibe" ich doch in diesem Moment quasi auf die Festplatte, oder hab ich da was verwechselt?

Edit: selbiges funktioniert übrigends auch bei Win2000. Weiss ich aus eigener Erfahrung in einem scharfen Domänen-Umfeld.

 

 

du könntest die Laufwerke auch per GPO "ausblenden"! So brauchst du keine Befürchtung haben, das durch fehlende Sicherheitseinstellungen Probleme enstehen.

Das alleine hilft nicht viel...ne Verknüpfung auf C: ist schnell erstellt.

Also bei dem Windows- und dem Programme-Ordner, sowie dem Ordner Dokumente & Einstellungen, würde ich den Schreibzugriff gestatten, da du sonst wohl über kurz oder lang Probleme bekommen wirst.

Letzendlich kannst du den Zugriff nur erschweren, aber nicht unterbinden.

Eventuell hat es ja auch was mit der Offlinespeicherung zu tun?

Tja, so wie du das schilderst, hast du den DC normal hochgefahren ohne vorher die Verzeichniswiederherstellung zu durchlaufen, richtig?

In dem Fall kannst du dich schon mal mit dem Thema "USN Rollback" befassen, das die Datenbankreplikationsnummern nicht mehr übereinstimmen.

Das lässt sich zwar mit viel Registry-Gefummel wieder hinbiegen, aber ich würde dir doch eher empfehlen, das Image nochmal aufzuspielen und BEVOR der DC dann das erste mal normal hochfährt F8 zu drücken und die Verzeichniswiederherstellung durchzuführen.

Warum immer gleich zu 3rd-prty-mittlen greifen? Windows hat massig solcher tools onboard. Einfach mal Start->ausführen->compmgmt.msc ausführen und dich mal ein bisschen mit "Leistungsprotokolle und Wartungen" auseinandersetzten.

das ist eine recht mächtige Konsole und dazu noch kostenlos.

Warum kaufst du dann nicht eine 2,5"-SATA-Festplatte mit 5400rpm und ein 2,5"-USB-Gehäuse einzeln?

Z.B.:

Platte->Arlt.com

Gehäuse->Pearl.de

Hast du mal alle USB-Ports/Hubs per Gerätemanager deinstalliert und von Windows neuinstallieren lassen?

Ich kenne das von meinen SCSI Platten, muss aber auch dazusagen, dass ich noch nicht auf die Idee gekommen bin, das irgendwie ändern zu wollen.

Die einzige Möglichkeit, welche mir jetzt spontan einfallen würde, wäre deinem System zu verklickern, dass es sich hierbei nicht um "normale Festplatten" handelt, sondern um Wechseldatenträger. Hintergrund des ganzen ist, dass die Erkennungs- und Initialisierungsrichtlinie eine andere ist, und daher schätzungsweise schneller von statten geht.

Soweit zur Theorie und jetzt kommt das ABER:

"Echte" Wechseldatenträger hängen normalerweise letztenendes entweder am USB-Port oder am IEEE 1394-Port. Ergo: Andere Schittstelle, andere Ubertragungstechnik und da erkennst du wohl auch schon meine Bedenken.

Ohne jetzt Nostradamus spielen zu wollen, bin ich mir ziemlich sicher, dass du dir mit so einer Sache dein ganzes system zerschiesst.

Ich würde dir raten: Leb mit dem Schönheitsfehler oder schalte die Platte auf Dauerbetrieb, alles andere endet nicht gut.

MfG,

Neomis

P.S.: Wenn jemnad meine Theorie wiederlegen kann, lass ich mich gerne eines besseren belehren^^

Wir reden hier von 2 Forests.

Ups...mein Fehler...sry. *schämt-sich*

die maus ist an einem anderen pc angestöpselt. hab aber an diesem pc das gleiche prob.

:suspect: die information gehört eher in den ersten Post. dann erzähl man in was für einem umfeld sich das ganze abspielt. netzwerk? sogar domäne?

Genau das geht ja nicht, da steht ja in die Gruppe der Schema-Admins, der Organistations-Admins und der Domänen-Admins, aber das ist alles nicht möglich.

Moment...versteh ich das richtig, dass folgendes Szenario nicht geht:

Ausgang: Du arbeitest mit dem account domadmin01@dom01 an server01@dom01.

1. Du setzt den account domadmin01@dom01 in die gruppe der Org-admins.

2. Du lädst dir die Konsole AD Benutzer von Server02@dom02 in die MMC auf server01@dom01

3. Du setzt den account domadmin02@dom02 in die Gruppe der org-admins.

4 Du lädst dir die Konsole AD Benutzer von Server01@dom01 in die MMC auf server01@dom01.

5. du versetzt den account domadmin02@server aus der Gruppe org-admins in die gruppe domadmins01.

Und punkt 1. soll nicht gehen ????

Naja, muss ja nicht manuell geändert worden sein. Um den Fehler mal einzugre´nzen:

-An anderen PC's wird die Platte erkannt -> also kein Defekt der Platte

-Maus wird auch nicht erkannt -> also muss es an den USB-Ports des betreffenden Rechners liegen

-nach Wiedereinstöpselung (tolles Wort :D) geht alles -> kein Defekt an den USB-Ports -> kein Defekt am Treiber

---> Ergo: muss es an der automatischen Erkennung liegen, wobei hier auch Plug&Play ne Rolle spielt.

Mögliche Anlaustellen sind:

-> Wechselmediendienst

-> Dienst Automatische Hardwareerkennung

Ansonsten hilft dir vielleicht das hier weiter: USB-Geräte werden erst beim 2. anschließen erkannt - ForumBase

Also doch per Logon-Script :p :D

Edit: oder du setzt den Aktivierungsintervall auf ein minimum...(ohne Gewähr)