Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
neobender

Gruppenrichtlinien werden nicht übernommen

Empfohlene Beiträge

Hi neobender,

 

Was ich eigentlich erwarte/möchte:

 

Nun eigentlich ganz einfach. Meine Benutzer sollen uneingeschränkt zugriff auf die Registrierungsdatenbank (regedit) haben und auf ihre C:\ Partition. Wobei ich letzeres noch nicht eingestellt habe.

 

Sry hast du jemals schon was von Sicherheitsstrategien gehört. Hast du den Sinn von Systemrechten verstanden?

 

Das ist definitiv die verrückteste Idee die ich 2006 bisher gehört habe. Lass die Anwender als Benutzer (nicht Hauptbenutzer o. geschweige den Admins) u. erstelle bei denen die erweiterte Rechte benötigen einfach einen weiteren "Lokalen Administrator"

 

Bitte mal hier lesen:

http://www.mcseboard.de/showthread.php?t=66853

 

LG Gadget

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Es ist mir klar das das Arbeiten unter Administratorenrechten eine potentielle Gefahr darstellt, deswegen will ich auch eine Domäne einführen.

 

Allerdings will ich auch nicht meine täglichen Arbeiten gefährden, und suchte daher erst einen Weg um den "alten Stand" wiederherzustellen, um von dort aus dann eine "vernünftige" Konfiguration zu erstellen.

 

Nunja ich bin mithilfe von einigen Google Suchbegriffen scheinbar auf einen Fehler gestoßen, den ich gemacht hab. Ich habe auf den Clients keinen DNS Eintrag auf dem Domänenserver gemacht.

 

Mache ich nun ein gpupdate so bekomme ich auch ein Ergebnis bei gpedit, und einige meiner Testrichtlinien werden übernommen.

 

Ich bedanke mich schon mal bei allen die mir versucht haben zu helfen ;-)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Allerdings will ich auch nicht meine täglichen Arbeiten gefährden, und suchte daher erst einen Weg um den "alten Stand" wiederherzustellen, um von dort aus dann eine "vernünftige" Konfiguration zu erstellen.

 

Ich hoffe dass Dir das gelingt, aber es wird schwer sein, das den Usern wieder abzugewöhnen...

 

Besser wäre es, mit dem Principle of least privilege zu arbeiten und von da aus die Berechtigungen soweit zu erweitern wie nötig.

 

Christoph

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Nunja ich bin mithilfe von einigen Google Suchbegriffen scheinbar auf einen Fehler gestoßen, den ich gemacht hab. Ich habe auf den Clients keinen DNS Eintrag auf dem Domänenserver gemacht.

 

Das ist hier aber auch schon von Edgar in #9 empfohlen worden ... ;)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo neobende, von mir ein Willkommen am Board. :)

[ich bin absoluter Anfänger auf diesem Gebiet. Scheut euch aber trozdem nicht zu Posten
Bei der Geburt waren wir alle nackig und danch begann das Lernen. Schon in der ersten Schulklasse hatte ich eine Fibel. Sowas hatte ich auch später in der Ausbildung, bei der Bundeswehr, im ..., bis heute. Zum Aneignen von Grundlagenwissen, von Verfahrensweisen, als Nachschlagewerk ist Lesestoff unverzichtbar. Das sage ich dir als pädagogisch Erfahrener.

 

Beschaffe dir also Lesestoff im Buchhandel, im Web, im Technet. Hier im Forum müssten unter Tipps und Tricks einige (Link)-Sammlungen zum SBS existieren.

 

Wofür willst du die Domäne nutzen, als Versuchs- und Spielwiese (habe ich auch :D ), geschäftlich, beruflich? Bei den beiden letzten Punkten kommt es meist auf die Schnelligkeit der Bereitstellung, auf die Funktionsfähigkeit an.

 

http://www.sbspraxis.de/

 

Viel Erfolg

 

Edgar

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@lefg:

Ich will es beruflich Benutzen

 

 

Nun jetzt hab ich noch ein Problem, meine Clients brauchen Zugriff auf die Registry:

 

HKEY_CLASSES_ROOT -> funktioniert

HKEY_CURRENT_USER -> funktioniert

HKEY_LOCAL_MACHINE -> funktioniert nicht

HKEY_USERS -> funktioniert nicht

HKEY_CURRENT_CONFIG -> funktioniert nicht

 

Im Gruppenrichtlinienobjekt-Editor habe ich in der Computerconfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Registrierung/

Die Schlüssel CLASSES_ROOT, MACHINE und USERS eingefügt außerdem habe ich versucht die GptTmpl.inf mit den fehlenden Schlüsseln zu erweitern:

 

"HKEY_CLASSES_ROOT",0,"D:PAR(A;CI;KA;;;BA)(A;CI;KA;;;BU)(A;CI;KA;;;CO)(A;CI;KA;;;WD)(A;CI;KA;;;SY)(A;CI;KA;;;S-1-5-21-620551079-1098276707-3644237389-1140)"

"HKEY_CURRENT_USER",0,"D:PAR(A;CI;KA;;;BA)(A;CI;KA;;;BU)(A;CI;KA;;;CO)(A;CI;KA;;;WD)(A;CI;KA;;;SY)(A;CI;KA;;;S-1-5-21-620551079-1098276707-3644237389-1140)"

"HKEY_LOCAL_MACHINE",0,"D:PAR(A;CI;KA;;;BA)(A;CI;KA;;;BU)(A;CI;KA;;;CO)(A;CI;KA;;;WD)(A;CI;KA;;;SY)(A;CI;KA;;;S-1-5-21-620551079-1098276707-3644237389-1140)"

"HKEY_USERS",0,"D:PAR(A;CI;KA;;;BA)(A;CI;KA;;;BU)(A;CI;KA;;;CO)(A;CI;KA;;;WD)(A;CI;KA;;;SY)(A;CI;KA;;;S-1-5-21-620551079-1098276707-3644237389-1140)"

"HKEY_CURRENT_CONFIG",0,"D:PAR(A;CI;KA;;;BA)(A;CI;KA;;;BU)(A;CI;KA;;;CO)(A;CI;KA;;;WD)(A;CI;KA;;;SY)(A;CI;KA;;;S-1-5-21-620551079-1098276707-3644237389-1140)"

 

allerdings ohne Erfolg, was ich fast vermutet hatte, gibt es noch einen anderen Weg?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
.....Nun jetzt hab ich noch ein Problem, meine Clients brauchen Zugriff auf die Registry
Hm..., deine Clients? Wer ist das, deine Rechner, deine User?

 

Entschuldige, falls ich zu penetrant frage.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi Neobender,

 

allerdings ohne Erfolg, was ich fast vermutet hatte, gibt es noch einen anderen Weg?

 

ja die Einstellung ändern => Die brauchen keinen Zugriff darauf... das ist ein fataler Irrtum.

Die Berechtigungen die, die Gruppe "Benutzer" bietet sollten aussreichen.

 

Falls nicht liegt es an der Anwendung u. du musst zu Drittherstellersoftware

(z.B. Desktopstandard Policymaker Application Security; http://www.desktopstandard.com)

 

greifen o. nur explicit die Berechtigung des Unterschlüssel ändern auf welche die Applikation zugreifen muss.

 

Helfen können dir dabei die Tools: Filemon u. Regmon von http://www.sysinternals.com

 

U. noch eine Sache.. das "Non-Admin-Thema" ist nicht auf meinen Mist gewachsen falls du mir nicht glaubst:

 

http://msmvps.com/blogs/bradley/archive/2004/12/30/28434.aspx

 

http://msmvps.com/blogs/bradley/archive/2005/07/22/59250.aspx

 

u. das ganze is nicht irgendeine Nebensache, sondern die wichtigste Sicherheitsmaßnahme überhaupt imho genauso wichtig wie ein Virenscanner u. eine Firewall!

 

LG Gadget

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich ahne, was da los ist.

 

Da sind Anwendungen, die für den Einzelplatzrechner mit dem Hauptbenutzer als Anwender gebaut sind.

 

Ist das so?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@Kohn

 

Ja ich nehme das ernst und meine Clients haben nun keine Adminrechte mehr, und natülich galube ich dir ;-)

 

@lefg

 

1. Jup ich meine die Rechner, die sich mit Benutzernamen anmelden die ich gerade versuche zu berechtigen.

 

2. Ja das siehst du richtig ich habe Jede menge Software die Zugriff auf die registry braucht, allerdings jetzt her zu gehen und jeden Schlüssel freizuschalten währe mir jetzt auch zu viel Aufwand, zumal ich nicht weis welches Programm noch auf die Registry zugeifen muss und wo, d.h. suche ich nach einen Weg alle Rootschlüssel freizugeben, wobei mir die Sicherheit (auch wenn viele das anders sehen) erstmal zweitrangig eine Rolle spielt, mir gehts erstmal darum so zu Arbeiten wie bisher, jedoch mit einer Domäne.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@Neobender

 

Ok wenn die Sicherheit keine Rolle spielt gib ihnen "Lokale Administratorrechte" per Gruppenrichtlinie u. das ganze funkt genauso wie ohne Domäne:

 

Was darf ein "Lokaler Admin":

http://www.gruppenrichtlinien.de/Grundlagen/Wer_darf_was.htm

 

Wie kann ich per Policy meine Benutzer (Gruppe "Domänenbenutzer") der Gruppe "Administratoren" auf den lokalen Maschinen hinzufügen:

 

Geht ganz einfach per Feature "Eingeschränkte Gruppen" (Die Übersetzung is ein bisserl Unglücklich hat mit Einschränkungen eigentlich nicht Direkt was zu tun):

 

http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm

 

LG Gadget

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Ja das siehst du richtig ich habe Jede menge Software die Zugriff auf die registry braucht, allerdings jetzt her zu gehen und jeden Schlüssel freizuschalten währe mir jetzt auch zu viel Aufwand, zumal ich nicht weis welches Programm noch auf die Registry zugeifen muss und wo, d.h. suche ich nach einen Weg alle Rootschlüssel freizugeben, wobei mir die Sicherheit (auch wenn viele das anders sehen) erstmal zweitrangig eine Rolle spielt, mir gehts erstmal darum so zu Arbeiten wie bisher, jedoch mit einer Domäne.

Sicherheit ist ein vorrangiges Gut.

 

Ich leiste ungern groben Verstössen Vorschub.

 

Ohne Sicherheit besteht die Gefahr, überhaupt nicht mehr arbeiten zu können.

 

Für das Problem gibt es mehrere Lösungsansätze.

 

Eines ist das Kontaktieren des Softwareherstellers.

 

Manchmal geht es wohl nicht anders.

 

Eine andere ist, den Schlüssel mit dem Regedit zu bearbeiten (rechte Maustaste, Berechtigungen)

Schau dir mal das Programm subinacl an!

 

Wie das mit der Gruppenrichtlinie geht, weiss ich im Moment nicht.

 

Kohn hat es schon empfolen, temporäre Adminrechte.

 

Über eingeschränkte Gruppen in Hauptbenutzer aufnehmen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Achja: mit gpresult habe ich es versucht:

 

[...]

 

Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen:

-----------------------------------------------------------

TestGruppe

Jeder

Benutzer

INTERAKTIV

Authentifizierte Benutzer

LOKAL

 

Leider sehe ich dort nicht das ich Administrator bin oder Haupbenutzer

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×