Jump to content
Sign in to follow this  
Deatheye

Zugriff auf Windows Systemuhr

Recommended Posts

Hallo zusammen

Ich hab das Problem, dass ein Benutzer nicht auf die Uhr im Systemtray zugreiffen kann. Sobald man versucht diese zu öffnen erscheint ne Meldung im Stil von:

Auf Grund von Einschränken die für dieses System gelten wurde der Vorgang abgebrochen.

 

Ich habe schon Infos dazu gefunden auch hier aber dabei geht es immer um die Computerkonfiguration. Gibt es dazu keine Einstellung unter der Benutzerkonfiguration?

Share this post


Link to post

Howdie!

 

Hallo zusammen

Ich hab das Problem, dass ein Benutzer nicht auf die Uhr im Systemtray zugreiffen kann. Sobald man versucht diese zu öffnen erscheint ne Meldung im Stil von:

Auf Grund von Einschränken die für dieses System gelten wurde der Vorgang abgebrochen.

 

Ich habe schon Infos dazu gefunden auch hier aber dabei geht es immer um die Computerkonfiguration. Gibt es dazu keine Einstellung unter der Benutzerkonfiguration?

 

Zuerst prinzipiell die Frage: warum sollen Benutzer die Uhrzeit ändern können? Die Clients erhalten die Uhrzeit von den Domänencontrollern und gleichen sie immer wieder ab. Das ist notwendig für das Kerberos-Protokoll, das für die Authentifizierung an der Domäne und an weiteren Diensten verwendet wird. Stellen Benutzer eigenmächtig die Zeit (falsch) um, kann es sein, dass die Anmeldung an Diensten oder die Verarbeitung von Gruppenrichtlinien nicht mehr funktioniert - ich würde das Benutzerrecht nicht verändern.

 

Wenn du es immernoch tun willst:

Computerkonfiguration\Windows Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\

 

cheers,

 

Florian

Share this post


Link to post

Das Problem ist, dass die Zeiterfassungssoftware auf dem System unter dem Benutzer läuft und die Software versucht die Zeit des Clients an den Server anzupassen. Da der Benutzer die Rechte nicht hat scheitert die Software und verursacht Fehlermeldungen die auf dem Bildschirm angezeigt werden. Währe es nur ein Eventlogeintrag würde ich es ignorieren aber so is es etwas unschön wenn man den Benutzern versucht beizubringen Fehler zu melden, dann aber wieder ausnahmen hat die ignoriert werden sollen.

Die Idee ist also nicht, dass der Benutzer die Zeit wirklich ändert. Ich werd dann allenfalls auch noch schauen, dass ich die Uhr ausblenden kann damit der Benutzer wiederrum nichts dran machen kann für den unwahrscheinlichen Fall, dass einer auf die Idee kommt.

 

Der Eintrag liegt aber weiderum unter de rComputerkonfiguration? Geht das nicht innerhalb der Benutzerkonfiguration? Dann müsste ich mal an anderen Systemen testen. Dachte eigentlich es liegt an ner Einstellung für den Benutzer... Wobei.. könnte dann ja auch sein falls andere Benutzer innerhalb der Computerkonfiguration bereits die Rechte dafür hätten...

Share this post


Link to post

Howdie!

 

Das Problem ist, dass die Zeiterfassungssoftware auf dem System unter dem Benutzer läuft und die Software versucht die Zeit des Clients an den Server anzupassen. Da der Benutzer die Rechte nicht hat scheitert die Software und verursacht Fehlermeldungen die auf dem Bildschirm angezeigt werden. Währe es nur ein Eventlogeintrag würde ich es ignorieren aber so is es etwas unschön wenn man den Benutzern versucht beizubringen Fehler zu melden, dann aber wieder ausnahmen hat die ignoriert werden sollen.

 

Hmm - hört sich für mich nach zweitklassiger Software an - sorry. Daran wirst du zwar kurzfristig nichts ändern können, langfristig würde ich aber nach einer anderen Lösung suchen wollen. Die Software ist in dem Fall einfach schlecht geplant worden.

 

 

Der Eintrag liegt aber weiderum unter de rComputerkonfiguration? Geht das nicht innerhalb der Benutzerkonfiguration? Dann müsste ich mal an anderen Systemen testen. Dachte eigentlich es liegt an ner Einstellung für den Benutzer... Wobei.. könnte dann ja auch sein falls andere Benutzer innerhalb der Computerkonfiguration bereits die Rechte dafür hätten...

 

Ja, du schnappst dir mit der OU + GPO Maschinen und erteilst auf diesen Maschinen Benutzern das Recht, die Systemzeit zu ändern. Das funktioniert nach dem gleichen Prinzip wie beispielsweise die Rechtevergabe für das Einloggen per Remote oder das Erlauben von Remoteshutdowns. Es ist eben nicht nur ein Setting in Windows sondern eine Sicherheitseinstellung...

 

cheers,

 

Florian

Share this post


Link to post

Also irgendwie sieht es so aus, also ob das PRoblem wo anders liegen müsste. Zumindest komm ich im Moment auf diesen Schluss und zwar wegen folgendem:

 

Zwei Benutzer die die selbe Benutzerkonfiguration durch GPO erhalten können die Uhr nicht öffnen.

Andere Benutzer am selben System können die Uhr öffnen.

Ich finde keine Policy die explizit die Rechte bereits anderen Benutzern erteilt.

 

Kann man irgendiwe genau herausfinden wodurch der Vorgang bei dem Benutzer geblockt wird? Bzw. warum bei anderen nicht. Ich hab die Strukturen hier nicht aufgebaut ^^

Share this post


Link to post

Kann man irgendiwe genau herausfinden wodurch der Vorgang bei dem Benutzer geblockt wird? Bzw. warum bei anderen nicht. Ich hab die Strukturen hier nicht aufgebaut ^^

 

Hast du denn jetzt die Richtlinie aktiviert? Sind die "anderen" Benutzer eventuell Mitglieder einer speziellen Gruppe.

 

Schau mal mit rsop.msc, ob da schon eine Richtlinie diesbezüglich vorhanden ist. Ansonsten würde ich mit procmon schauen, ob es ein Berechtigungsproblem ist und falls ja, wo der Zugriff scheitert.

 

cheers,

 

Florian

Share this post


Link to post

Vorsicht: Die PC's müssen (!) die Uhrzeit mit dem PDC-Emulator synchronisieren. Falls die Software (oder User) die Zeit verstellen, kann sich der USER oder der PC u.U. nicht mehr an der Domäne anmelden. Also besser an der Software-Hersteller wenden, damit er diese Funktion rausnimmt.

 

-Zahni

Share this post


Link to post

Wenn ich bei nem Benutzer der die Zeit ändern kann rsop Ausführe, ist in der Computerkonfiguration "ändern der Systemzeit" nicht definiert.

 

Dass die Zeitsynchronisation in der Domäne wichtig ist ist mir durchaus bewusst. Ich hab einmal erlebt was passeirt wenn der externe Zeitgeber plötzlich eine Zeit an den PDC übermittelt die um mehrere Stunden verschoben ist. ^^

 

 

Frag mich gerade ob ich das nicht mal anschauen soll ob wir doch lieber mit der Fehlermeldung leben. Nur schon weils inzwischen einiges an Zeit frisst -.-

Share this post


Link to post

Wenn er die Zeit ändern kann und das nicht explizit in einer Domänenrichtlinie definiert wurde, dann muss er Mitglied einer Gruppe sein, der dieses Benutzerrecht in der lokalen Richlinie gewährt wurde ...

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...