meckert 10 Geschrieben 16. Dezember 2005 Melden Teilen Geschrieben 16. Dezember 2005 Moin Ich verstehe die Systemrichtlinien scheinbar nicht. Man das häuft sich aber mit meinen Fragen. Also wenn ich als Admin gepedit.msc aufrufe, dann darf ich das weil ich Admin bin. Su nun lege ich in den Systemrichtlinien unter Computerkonfiguration--> Windows Einstellungen--> Skripts--> TIME.BAT starten ein Skript fest. Das gleiche mache ich auch unter den benutzerkonfiguration--> Windows Einstellungen--> Skripts--> TIME.BAT Meldet sich nun der Admin an der lokalen Maschine an, dann wird die Zeit sauber eingestellt. Macht das allerdings ein Nutzer, dann passiert da nix. Nun sagt ihr sicher ja die dürfen das doch nicht sind doch "NUR" Benutzer aber dann frage ich sofort, Werden die lokalen Richtlinien nicht als eine vertrauenswürdige Stelle oder so behandelt somit müssten diese doch ausgeführt werden oder nicht. Ich danke euch und freu mich auf eure Antworten. Gruß Mecki Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 16. Dezember 2005 Melden Teilen Geschrieben 16. Dezember 2005 Das Anmeldeskript wird im Sicherheitskontext des Users ausgeführt (als wenn er es selbst ausführen würde, das gleiche gilt bei Anmeldescripts, die in den Benutzeigenschaften im Verzeichnis angegeben werden) und der darf die Zeit nun mal nicht verändern (aus gutem Grund) Zitieren Link zu diesem Kommentar
meckert 10 Geschrieben 16. Dezember 2005 Autor Melden Teilen Geschrieben 16. Dezember 2005 Ich dachte, dass die Richtlinien die mit gpedit erstellt werden als gesonderte Vertrauensstellung ausgeführt werden. Denn wenn ich jetzt beispielsweise dem User die Systemzeit vollkommen ausblende, dann wird die Zeit doch auch ausgeblendet obwohl der User die Berechtigung nicht hätte die Zeit oder what ever wegzuschalten. Das System muss doch irgendwie merken, dass diese Richtlinien vom Admin gemacht wurden und dementsprechend ausgeführt werden müssen sonst macht der ganze kram doch keinen wirklichen Sinn. Und falls jeder meiner Gedanken falsch sein sollte, dann frage ich, wie passe ich die Systemzeit einem Server an ohne dem Benutzer Rechte zur Zeitänderung zu geben. Danke Gruß Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 17. Dezember 2005 Melden Teilen Geschrieben 17. Dezember 2005 Das Anmeldeskript wird im Sicherheitskontext des Users ausgeführt Das gleiche mache ich auch unter den benutzerkonfiguration--> Windows Einstellungen--> Skripts--> TIME.BATFür die Benutzerkonfiguration ist die Angabe meines geschätzten Vorposters IThome ohne Zweifel korrekt.Computerkonfiguration--> Windows Einstellungen--> Skripts--> TIME.BAT Hier würde es im Kontext des Systems ausgeführt werden. In einer AD-Domäne mit funktionierender Namensauflösung per DNS(DDNS) wird die Zeit der Clients mit der des PDC-Emulators synchronisiert. Für eine net.bat mit net time gibt es keinen Grund mehr. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 17. Dezember 2005 Melden Teilen Geschrieben 17. Dezember 2005 Danke Edgar, das war es , was ich meinte ... :) (aber nur halb geschrieben habe) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 17. Dezember 2005 Melden Teilen Geschrieben 17. Dezember 2005 Off-Topic:(aber nur halb geschrieben habe)Das Hinterherschreiben (von mir) ist immer einfacher. :) Zitieren Link zu diesem Kommentar
meckert 10 Geschrieben 17. Dezember 2005 Autor Melden Teilen Geschrieben 17. Dezember 2005 Computerkonfiguration--> Windows Einstellungen--> Skripts--> TIME.BAT Hier würde es im Kontext des Systems ausgeführt werden. Was bedeutet das??? Heißt das soviel, wie so sollte es gehen da es ja im Sicherheitskontext der Maschine also vertrauenswürdig ausgeführt werden kann oder nicht. Wenn ja dann scheint etwas anderes im argen zu liegen denn die Einstellungen greifen so auch nicht und das Skript wird nur als Admin gezogen und angewendet. In einer AD-Domäne mit funktionierender Namensauflösung per DNS(DDNS) wird die Zeit der Clients mit der des PDC-Emulators synchronisiert. Für eine net.bat mit net time gibt es keinen Grund mehr. Ein Domaincontroller ist definitiv ausgeschlossen da er nicht zum Einsatz kommen darf für diese Umgebung klingt unglaublich ist aber so. Zitieren Link zu diesem Kommentar
R.Ralle 10 Geschrieben 17. Dezember 2005 Melden Teilen Geschrieben 17. Dezember 2005 Moin und hallo (lange nicht gesehen ;) ) das Problem bei meckert`s Umgebung ist das es keine domäne sein darf, aber wie eine funktionieren soll !!! das Problem mit dem Zeitabgleich für den User kann er meiner Meinung nach nur mit dem Benutzerrecht Systemzeit ändern erreichen ! Gruß Ralph Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 18. Dezember 2005 Melden Teilen Geschrieben 18. Dezember 2005 Hallo, ich habe in die Eröffnung hineininterpretiert, was so nicht drinsteht. Ich gehe bei der Erwähnung eines 2k3 instinktiv von von einem AD aus, ohne vorher die Kristallkugel zu Rate zu ziehen. Eine genauere Beschreibung wäre hilfreich gewesen. Die Verwendung des Terminus Systemrichtlinien lässt übrigens auf eine geringe Vertrautheit mit 2k(3), auf keinewirkliche Beschäftigung (Literatur, Technet, Knowledgebase) schliessen. In einer Arbeitsgruppe (kein ADS) gibt es keine netzwerkweiten Gruppenrichtlinien. Man kann mit der lokalen Gruppenrichtline auf den WS Skripte ausführen. Für die Änderung der lokalen Zeit muss das System oder der Benutzer berechtigt sein (lokale Sicherheitsrichtlinie). Gruß Edgar Zitieren Link zu diesem Kommentar
R.Ralle 10 Geschrieben 18. Dezember 2005 Melden Teilen Geschrieben 18. Dezember 2005 Hallo Edgar, Ich wuste das so genau, weil ich mit MECHERT telefoniert habe. Ansonsten hast du netürlich recht, Systemrichtlinien gabs bei NT. aber jeder fängt ja mal an. Gruß Ralph Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 18. Dezember 2005 Melden Teilen Geschrieben 18. Dezember 2005 Off-Topic:Hallo Ralph,ich habe lange nichts dir gehört, weiss aber, du liesst mit. :) Ich wollte dem OT mit meiner (ich hoffe, als konstruktiv empfundenen) Kritik ein wenig anregen.Bei der Geburt waren wir alle nackig, das sehe ich so. :) GrußEdgar :) :) Zitieren Link zu diesem Kommentar
meckert 10 Geschrieben 19. Dezember 2005 Autor Melden Teilen Geschrieben 19. Dezember 2005 Hallo Wollte kurz meine Lösung mitteilen und vielleicht sieht ja jemand Probleme die ich so nicht erkannt habe. Ich habe jetzt, auf dem Client einen Task geplant der als Administrator beim Systemstart ausgeführt wird. Den Task ausführen darf jeder User auf der Maschine. Der Task ist nichts weiter als der Aufruf der Batchdatei die die Zeit auf dem Client der Zeit des Servers anpasst. So scheint es zu funktionieren (die Zeit wird korrekt gesetzt und das Ganze ohne dem User die Rechte fürs ändern der Systemzeit zu erteilen). Bringt das ein neues Sicherheitsloch???? Gruß Mecki :suspect: Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 19. Dezember 2005 Melden Teilen Geschrieben 19. Dezember 2005 Ich würde es mit dem W32TIME-Dienst machen, einer der Server ist SNTP-Server, gleicht seine Zeit selbst im Internet oder vielleicht per Funkuhr ab, die Clients (der W32TIME-Dienst und nicht der User) gleichen die Zeit mit dem Server ab (in konfigurierbaren Zeitabständen). http://support.microsoft.com/default.aspx?scid=kb;en-us;307897 http://support.microsoft.com/default.aspx?scid=kb;en-us;314054 http://support.microsoft.com/default.aspx?scid=kb;en-us;816042 Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 19. Dezember 2005 Melden Teilen Geschrieben 19. Dezember 2005 Pass auf die Batch auf, jeder der darankommt, kann reinschreiben was er will, ausführen lassen was er will. Ob der administrative Kontext notwendig ist, ob der des Systems nicht gereicht hätte? Es ist wohl egal. Was für Clients sind das? Zitieren Link zu diesem Kommentar
meckert 10 Geschrieben 19. Dezember 2005 Autor Melden Teilen Geschrieben 19. Dezember 2005 Danke für die Antworten @ithome --> MS sieht scheinbar die Lösung für Domainen vor. Ich habe keine und darf keine einführen. Oder habe ich den Text falsch verstanden???? @lefg--> Der Task wird auf Windows 2000 Clients ausgeführt. Die Batchdatei liegt auf einem Windows 2003 Server welcher kein Domaincontroller ist. Ich bin mir wegen des Adminrechtes nicht ganz sicher. Aber wenn ich Dateien eines anderen Rechners nutzen will muss ich doch auf jedem Rechner die gleichen Accounts erstellen da ich ja keine Domain habe. Nun kann ich nicht sagen, (aber bestimmt du) ob das auch übereinstimmt wenn das im Systemkontext läuft. Gruß Mecki Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.