Jump to content

Zugriff auf Windows Systemuhr


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen

Ich hab das Problem, dass ein Benutzer nicht auf die Uhr im Systemtray zugreiffen kann. Sobald man versucht diese zu öffnen erscheint ne Meldung im Stil von:

Auf Grund von Einschränken die für dieses System gelten wurde der Vorgang abgebrochen.

 

Ich habe schon Infos dazu gefunden auch hier aber dabei geht es immer um die Computerkonfiguration. Gibt es dazu keine Einstellung unter der Benutzerkonfiguration?

Link zu diesem Kommentar

Howdie!

 

Hallo zusammen

Ich hab das Problem, dass ein Benutzer nicht auf die Uhr im Systemtray zugreiffen kann. Sobald man versucht diese zu öffnen erscheint ne Meldung im Stil von:

Auf Grund von Einschränken die für dieses System gelten wurde der Vorgang abgebrochen.

 

Ich habe schon Infos dazu gefunden auch hier aber dabei geht es immer um die Computerkonfiguration. Gibt es dazu keine Einstellung unter der Benutzerkonfiguration?

 

Zuerst prinzipiell die Frage: warum sollen Benutzer die Uhrzeit ändern können? Die Clients erhalten die Uhrzeit von den Domänencontrollern und gleichen sie immer wieder ab. Das ist notwendig für das Kerberos-Protokoll, das für die Authentifizierung an der Domäne und an weiteren Diensten verwendet wird. Stellen Benutzer eigenmächtig die Zeit (falsch) um, kann es sein, dass die Anmeldung an Diensten oder die Verarbeitung von Gruppenrichtlinien nicht mehr funktioniert - ich würde das Benutzerrecht nicht verändern.

 

Wenn du es immernoch tun willst:

Computerkonfiguration\Windows Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\

 

cheers,

 

Florian

Link zu diesem Kommentar

Das Problem ist, dass die Zeiterfassungssoftware auf dem System unter dem Benutzer läuft und die Software versucht die Zeit des Clients an den Server anzupassen. Da der Benutzer die Rechte nicht hat scheitert die Software und verursacht Fehlermeldungen die auf dem Bildschirm angezeigt werden. Währe es nur ein Eventlogeintrag würde ich es ignorieren aber so is es etwas unschön wenn man den Benutzern versucht beizubringen Fehler zu melden, dann aber wieder ausnahmen hat die ignoriert werden sollen.

Die Idee ist also nicht, dass der Benutzer die Zeit wirklich ändert. Ich werd dann allenfalls auch noch schauen, dass ich die Uhr ausblenden kann damit der Benutzer wiederrum nichts dran machen kann für den unwahrscheinlichen Fall, dass einer auf die Idee kommt.

 

Der Eintrag liegt aber weiderum unter de rComputerkonfiguration? Geht das nicht innerhalb der Benutzerkonfiguration? Dann müsste ich mal an anderen Systemen testen. Dachte eigentlich es liegt an ner Einstellung für den Benutzer... Wobei.. könnte dann ja auch sein falls andere Benutzer innerhalb der Computerkonfiguration bereits die Rechte dafür hätten...

Link zu diesem Kommentar

Howdie!

 

Das Problem ist, dass die Zeiterfassungssoftware auf dem System unter dem Benutzer läuft und die Software versucht die Zeit des Clients an den Server anzupassen. Da der Benutzer die Rechte nicht hat scheitert die Software und verursacht Fehlermeldungen die auf dem Bildschirm angezeigt werden. Währe es nur ein Eventlogeintrag würde ich es ignorieren aber so is es etwas unschön wenn man den Benutzern versucht beizubringen Fehler zu melden, dann aber wieder ausnahmen hat die ignoriert werden sollen.

 

Hmm - hört sich für mich nach zweitklassiger Software an - sorry. Daran wirst du zwar kurzfristig nichts ändern können, langfristig würde ich aber nach einer anderen Lösung suchen wollen. Die Software ist in dem Fall einfach schlecht geplant worden.

 

 

Der Eintrag liegt aber weiderum unter de rComputerkonfiguration? Geht das nicht innerhalb der Benutzerkonfiguration? Dann müsste ich mal an anderen Systemen testen. Dachte eigentlich es liegt an ner Einstellung für den Benutzer... Wobei.. könnte dann ja auch sein falls andere Benutzer innerhalb der Computerkonfiguration bereits die Rechte dafür hätten...

 

Ja, du schnappst dir mit der OU + GPO Maschinen und erteilst auf diesen Maschinen Benutzern das Recht, die Systemzeit zu ändern. Das funktioniert nach dem gleichen Prinzip wie beispielsweise die Rechtevergabe für das Einloggen per Remote oder das Erlauben von Remoteshutdowns. Es ist eben nicht nur ein Setting in Windows sondern eine Sicherheitseinstellung...

 

cheers,

 

Florian

Link zu diesem Kommentar

Also irgendwie sieht es so aus, also ob das PRoblem wo anders liegen müsste. Zumindest komm ich im Moment auf diesen Schluss und zwar wegen folgendem:

 

Zwei Benutzer die die selbe Benutzerkonfiguration durch GPO erhalten können die Uhr nicht öffnen.

Andere Benutzer am selben System können die Uhr öffnen.

Ich finde keine Policy die explizit die Rechte bereits anderen Benutzern erteilt.

 

Kann man irgendiwe genau herausfinden wodurch der Vorgang bei dem Benutzer geblockt wird? Bzw. warum bei anderen nicht. Ich hab die Strukturen hier nicht aufgebaut ^^

Link zu diesem Kommentar

Kann man irgendiwe genau herausfinden wodurch der Vorgang bei dem Benutzer geblockt wird? Bzw. warum bei anderen nicht. Ich hab die Strukturen hier nicht aufgebaut ^^

 

Hast du denn jetzt die Richtlinie aktiviert? Sind die "anderen" Benutzer eventuell Mitglieder einer speziellen Gruppe.

 

Schau mal mit rsop.msc, ob da schon eine Richtlinie diesbezüglich vorhanden ist. Ansonsten würde ich mit procmon schauen, ob es ein Berechtigungsproblem ist und falls ja, wo der Zugriff scheitert.

 

cheers,

 

Florian

Link zu diesem Kommentar

Wenn ich bei nem Benutzer der die Zeit ändern kann rsop Ausführe, ist in der Computerkonfiguration "ändern der Systemzeit" nicht definiert.

 

Dass die Zeitsynchronisation in der Domäne wichtig ist ist mir durchaus bewusst. Ich hab einmal erlebt was passeirt wenn der externe Zeitgeber plötzlich eine Zeit an den PDC übermittelt die um mehrere Stunden verschoben ist. ^^

 

 

Frag mich gerade ob ich das nicht mal anschauen soll ob wir doch lieber mit der Fehlermeldung leben. Nur schon weils inzwischen einiges an Zeit frisst -.-

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...