Rechte von Systemrichtlinien

[meckert 10]

Moin

 

Ich verstehe die Systemrichtlinien scheinbar nicht. Man das häuft sich aber mit meinen Fragen.

 

Also wenn ich als Admin gepedit.msc aufrufe, dann darf ich das weil ich Admin bin. Su nun lege ich in den Systemrichtlinien unter Computerkonfiguration--> Windows Einstellungen--> Skripts--> TIME.BAT starten ein Skript fest. Das gleiche mache ich auch unter den benutzerkonfiguration--> Windows Einstellungen--> Skripts--> TIME.BAT

 

Meldet sich nun der Admin an der lokalen Maschine an, dann wird die Zeit sauber eingestellt. Macht das allerdings ein Nutzer, dann passiert da nix. Nun sagt ihr sicher ja die dürfen das doch nicht sind doch "NUR" Benutzer aber dann frage ich sofort,

 

Werden die lokalen Richtlinien nicht als eine vertrauenswürdige Stelle oder so behandelt somit müssten diese doch ausgeführt werden oder nicht.

 

Ich danke euch und freu mich auf eure Antworten.

 

Gruß Mecki

[IThome 10]

Das Anmeldeskript wird im Sicherheitskontext des Users ausgeführt (als wenn er es selbst ausführen würde, das gleiche gilt bei Anmeldescripts, die in den Benutzeigenschaften im Verzeichnis angegeben werden) und der darf die Zeit nun mal nicht verändern (aus gutem Grund)

[meckert 10]

Ich dachte, dass die Richtlinien die mit gpedit erstellt werden als gesonderte Vertrauensstellung ausgeführt werden. Denn wenn ich jetzt beispielsweise dem User die Systemzeit vollkommen ausblende, dann wird die Zeit doch auch ausgeblendet obwohl der User die Berechtigung nicht hätte die Zeit oder what ever wegzuschalten. Das System muss doch irgendwie merken, dass diese Richtlinien vom Admin gemacht wurden und dementsprechend ausgeführt werden müssen sonst macht der ganze kram doch keinen wirklichen Sinn.

 

Und falls jeder meiner Gedanken falsch sein sollte, dann frage ich, wie passe ich die Systemzeit einem Server an ohne dem Benutzer Rechte zur Zeitänderung zu geben.

 

Danke Gruß

[lefg 276]

Das Anmeldeskript wird im Sicherheitskontext des Users ausgeführt

Das gleiche mache ich auch unter den benutzerkonfiguration--> Windows Einstellungen--> Skripts--> TIME.BAT

Für die Benutzerkonfiguration ist die Angabe meines geschätzten Vorposters IThome ohne Zweifel korrekt.

Computerkonfiguration--> Windows Einstellungen--> Skripts--> TIME.BAT

Hier würde es im Kontext des Systems ausgeführt werden.

 

In einer AD-Domäne mit funktionierender Namensauflösung per DNS(DDNS) wird die Zeit der Clients mit der des PDC-Emulators synchronisiert. Für eine net.bat mit net time gibt es keinen Grund mehr.

[IThome 10]

Danke Edgar, das war es , was ich meinte ... :) (aber nur halb geschrieben habe)

[lefg 276]

Off-Topic:

(aber nur halb geschrieben habe)

Das Hinterherschreiben (von mir) ist immer einfacher. :)

[meckert 10]

Computerkonfiguration--> Windows Einstellungen--> Skripts--> TIME.BAT

Hier würde es im Kontext des Systems ausgeführt werden.

Was bedeutet das??? Heißt das soviel, wie so sollte es gehen da es ja im Sicherheitskontext der Maschine also vertrauenswürdig ausgeführt werden kann oder nicht. Wenn ja dann scheint etwas anderes im argen zu liegen denn die Einstellungen greifen so auch nicht und das Skript wird nur als Admin gezogen und angewendet.

 

 

In einer AD-Domäne mit funktionierender Namensauflösung per DNS(DDNS) wird die Zeit der Clients mit der des PDC-Emulators synchronisiert. Für eine net.bat mit net time gibt es keinen Grund mehr.

Ein Domaincontroller ist definitiv ausgeschlossen da er nicht zum Einsatz kommen darf für diese Umgebung klingt unglaublich ist aber so.

[R.Ralle 10]

Moin und hallo (lange nicht gesehen ;) )

 

das Problem bei meckert`s Umgebung ist das es keine domäne sein darf, aber wie eine funktionieren soll !!!

 

das Problem mit dem Zeitabgleich für den User kann er meiner Meinung nach nur mit dem Benutzerrecht Systemzeit ändern erreichen !

 

Gruß

Ralph

[lefg 276]

Hallo,

 

ich habe in die Eröffnung hineininterpretiert, was so nicht drinsteht. Ich gehe bei der Erwähnung eines 2k3 instinktiv von von einem AD aus, ohne vorher die Kristallkugel zu Rate zu ziehen. Eine genauere Beschreibung wäre hilfreich gewesen.

Die Verwendung des Terminus Systemrichtlinien lässt übrigens auf eine geringe Vertrautheit mit 2k(3), auf keinewirkliche Beschäftigung (Literatur, Technet, Knowledgebase) schliessen.

 

In einer Arbeitsgruppe (kein ADS) gibt es keine netzwerkweiten Gruppenrichtlinien.

 

Man kann mit der lokalen Gruppenrichtline auf den WS Skripte ausführen.

 

Für die Änderung der lokalen Zeit muss das System oder der Benutzer berechtigt sein (lokale Sicherheitsrichtlinie).

 

Gruß

 

Edgar

[R.Ralle 10]

Hallo Edgar,

 

Ich wuste das so genau, weil ich mit MECHERT telefoniert habe.

Ansonsten hast du netürlich recht, Systemrichtlinien gabs bei NT. aber jeder fängt ja mal an.

 

Gruß

Ralph

[lefg 276]

Off-Topic:
Hallo Ralph,

ich habe lange nichts dir gehört, weiss aber, du liesst mit. :)

Ich wollte dem OT mit meiner (ich hoffe, als konstruktiv empfundenen) Kritik ein wenig anregen.
Bei der Geburt waren wir alle nackig, das sehe ich so. :)

Gruß

Edgar

:) :)

[meckert 10]

Hallo

 

Wollte kurz meine Lösung mitteilen und vielleicht sieht ja jemand Probleme die ich so nicht erkannt habe. Ich habe jetzt, auf dem Client einen Task geplant der als Administrator beim Systemstart ausgeführt wird. Den Task ausführen darf jeder User auf der Maschine. Der Task ist nichts weiter als der Aufruf der Batchdatei die die Zeit auf dem Client der Zeit des Servers anpasst. So scheint es zu funktionieren (die Zeit wird korrekt gesetzt und das Ganze ohne dem User die Rechte fürs ändern der Systemzeit zu erteilen).

 

Bringt das ein neues Sicherheitsloch????

 

Gruß Mecki :suspect:

[IThome 10]

Ich würde es mit dem W32TIME-Dienst machen, einer der Server ist SNTP-Server, gleicht seine Zeit selbst im Internet oder vielleicht per Funkuhr ab, die Clients (der W32TIME-Dienst und nicht der User) gleichen die Zeit mit dem Server ab (in konfigurierbaren Zeitabständen).

http://support.microsoft.com/default.aspx?scid=kb;en-us;307897

http://support.microsoft.com/default.aspx?scid=kb;en-us;314054

http://support.microsoft.com/default.aspx?scid=kb;en-us;816042

[lefg 276]

Pass auf die Batch auf, jeder der darankommt, kann reinschreiben was er will, ausführen lassen was er will.

 

Ob der administrative Kontext notwendig ist, ob der des Systems nicht gereicht hätte? Es ist wohl egal.

 

Was für Clients sind das?

[meckert 10]

Danke für die Antworten

 

@ithome --> MS sieht scheinbar die Lösung für Domainen vor. Ich habe keine und darf keine einführen. Oder habe ich den Text falsch verstanden????

 

@lefg--> Der Task wird auf Windows 2000 Clients ausgeführt. Die Batchdatei liegt auf einem Windows 2003 Server welcher kein Domaincontroller ist. Ich bin mir wegen des Adminrechtes nicht ganz sicher. Aber wenn ich Dateien eines anderen Rechners nutzen will muss ich doch auf jedem Rechner die gleichen Accounts erstellen da ich ja keine Domain habe. Nun kann ich nicht sagen, (aber bestimmt du) ob das auch übereinstimmt wenn das im Systemkontext läuft.

 

Gruß Mecki