Admin ohne Rechte

[smigi 10]

Hallo Leute!

 

Benötige wieder mal dringend Hilfe.

 

Auf dem Terminalserver ( 2008 R2 ) hat der Admin wenig Rechte.

 

Z.B.:

 

Systemsteuerung ist leer

 

Rechte Maus auf den Computer/Verwaltung, ght nicht.

 

Vermutlich ist er in einer Grupper gelandet, die nicht alles darf.

 

Aber wie finde ich das raus?

 

Bitte um HILFEE!!!

 

Danke jetzt schon.

[Sunny61 833]

Mit einem anderen Administrativen Konto anmelden und lokal überprüfen. Alternativ das Konto im AD checken, möglicherweise ist er dort ja aus wichtigen Gruppen entfernt worden. Und ja, das funktioniert auch nur mit einem Konto das Administrative Rechte in der Domain hat.

[lefg 276]

Hallo,

 

ein Administrator ist normal ein Mitglied in der Sicherheitsgruppe der Administratoren. Wurde er daraus entfernt und gehört er keiner Gruppe mehr an?

 

Oder fand eine Umbenennug statt oder ein Akt der Sabotage?

 

Gibt es Fehlermeldungen im Ereignisprotokoll?

bearbeitet 18. November 2013 von lefg

[smigi 10]

Hallo.

Verzeiht mir die lange Reaktionszeit.

 

Administrator Konto existiert, ist auch in der Gruppe der Administratoren und der Domänen-Admins.

Das hatte ich schon vorher gecheckt.

 

Eher, dieser ist gelandet in einer anderen Gruppe.

Aber welcher?

 

Ha, das zeigt in welchen:

 

net user UTE /domain

 

nämlich diesen:

 

Lokale Gruppenmitgliedschaften      *Administratoren
                                    *FA Cube Transportkos
                                    *NET43TOOLS_User
                                    *Replikations-Operato
                                    *Scanning_Monitor_Use
                                    *SWAP_User
Globale Gruppenmitgliedschaften     *Domänen-Benutzer
                                    *NET Wien
                                    *Installation
                                    *KLAdmins
                                    *ORG Publicfolder Rea
                                    *NET NEX
                                    *NETconcept
                                    *Domänen-Admins
                                    *ExchangeAdmins
                                    *printerAG-OG
                                    *Richtlinien-Erstelle
                                    *personal
                                    *Organization Managem
                                    *Schema-Admins
                                    *SD__PC W7x86_TV7_Ins
                                    *NET Sattledt
                                    *Seagate Info
                                    *Organisations-Admins

 

Einige regeln den Zugriff auf bestimmte Ordner im Startmenü.

 

Das sollte aber nicht den Administrator zu fast normalem User machen?

[cbarth 10]

Hallo MichL,

kannst du denn RSOP.MSC aufrufen? Damit könntest du schnell herausfinden, welche GPO der Übeltäter ist.

Wahrscheinlich ist das eine Loopbackpolicy auf der OU wo die RDSH/ Terminalserver drin sind.

 

lg

Carsten

[smigi 10]

Hallo Carsten.

 

RSOP geht schon, nur wie finde ich es heraus?

[cbarth 10]

Hallo,

schau mal hier:

 

Benutzerkonfiguration\Administrative Vorlagen\Systemsteuerung

 

lg

Carsten

[smigi 10]

Hi,

das gibt es bei mir nicht.

[smigi 10]

Hallo Leute.

 

Muss dieses Thema wieder aufgreifen, weil es wieder interessant wird.

 

Der Admin ist auf den Terminalservern eingschränkt.

 

Im RSOP habe ich Benutzerkonfiguration\Administrative Vorlagen\Systemsteuerung gar nicht.

 

Wenn ich aber unter Gruppenrichtlinienergebnisse den Admin auf dem TS checke, greiffen auf den sehr vielle Policyx.

 

Auch die Default Domain Policy.

 

Wie bekomme ich den Admin da überall raus.

 

Bitte helft mir, mir fällt nichts mehr ein.

 

Danke im Voraus.

[NorbertFe 2.283]

Die default Domain Policy ist doch nicht schlimm, da man dort sowieso nur die kennwortrichtlinie definiert. Sollte das bei dir anders sein, ändere das. Ansonsten gibts jederzeit die Möglichkeit einzelnen Usern oder Gruppen die Übernahme zu verweigern. Aber das sollte man nur tun, wenn der Rest soweit passt.

[testperson 1.859]

Hi,

 

was ergibt denn ein "gpresult /h gpo.html"? Ist der Admin ebenfalls auf den Workstations eingeschränkt? Wenn nein solltest du wie unter http://www.mcseboard.de/topic/195763-admin-ohne-rechte/?do=findComment&comment=1214160 beschrieben einmal die GPOs auf der OU der RDS Hosts prüfen:

http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode/

 

Gruß

Jan

[smigi 10]

Uff, lange gesucht und gefunden.

 

Es gibt eine Terminalserve-Policy die verschiedenes auf den Terminalservern regelt.

 

Auch die Softwareeinschränkung auf Computerebene.

Es steht aber im Gruppenrichtlinienergebniss Alle Benutzer außer lokalen Administratoren.

 

Der Domänenadministrator ist aber in der Gruppe der Administratoren.

Trotzdem darf er nicht installieren.

Hallo,

Prblem gelöst.

 

Und was war es.

Werden jetzt viele fragen.

 

Nun,

es war der Loopbackverarbeitungsmodus auf einer druckerregelnden Policy.

Die nichts mit Softwareinstallationen zu tun hat.

 

:cool: :( :)

bearbeitet 1. September 2014 von smigi