Lokale Richtlinien eines ehemaligen LAN-Rechners nachträglich Ändern

[b11ck 10]

Hallo,

 

habe folgendes Problem:

 

Domainenweit dürfen per GPO nur Domänenuser die Uhrzeit ändern (per GPO vom DC).

 

Ein Rechner für ein Projekt läuft jetzt als Einzelplatzrechner beim Kunden, wurde aber hier eingerichtet. Jetzt kann ich nur noch die Uhrzeit ändern, wenn ich mich an die Domäne anmelde, der Kunde soll sich jedoch mit einem lokalen Benutzernamen und Passwort anmelden.

 

Kann ich die Einstellung, die ja mal vom Server kam, nachträglich ändern, wenn ich jetzt nicht mehr am Server hänge? Der Rechner steht ja nicht mehr bei uns.

 

Habs leider erst mal nicht hinbekommen.

[herr_davis 10]

Ich würde den Rechner aus der Domäne wieder in eine Arbeitsgruppe überführen, mich dann als Admin anmelden und dem lokalen Benutzer mögliche Rechte einräumen!

 

Wenn er aus der Domäne raus ist dürfte auch die Gruppenrichtlinie nicht mehr greifen.

 

mfg

[Gulp 228]

Falsch, die Richtlinien bleiben dann erhalten, sofern es sich um die Computer Richtlinien handelt.

 

Hier hilft nur das MMC SnapIn "Sicherheitskonfiguration und- analyse". Dort die Vorlage "setup_security.inf" laden und auf den Rechner anwenden. Dann sind alle Richtlinien auf den Stand eines jungfräulich installierten Systems zurückgesetzt.

 

Grüsse

 

Gulp

[b11ck 10]

Vielen Dank Gulp und herr_davis. Ich habe gleich Gulps Vorschlag ausprobiert, es hat funktioniert.

 

Wisst Ihr zufällig, ob es nicht auch eine Möglichkeit gibt, gezielt nur das Recht "Uhrzeit ändern" zu ändern? Auf dem betroffenen Rechner läuft eine aufwendige individuell programmierte Software.

 

Besten Dank im Voraus.

[IThome 10]

Klar geht das, das ist ein Benutzerrecht, zu finden in der lokalen Sicherheitsrichtlinie und heisst "Ändern der Systemzeit"

[grizzly999 11]

Klar geht das, das ist ein Benutzerrecht, zu finden in der lokalen Sicherheitsrichtlinie und heisst "Ändern der Systemzeit"

Das Problem daran wird nur sein, da der Rechner ja noch in der Domäne Mitglied ist, ist auch im Offline-Modus die vom AD übernommene Richtline in den lokalen Richtlinien ausgraut und nicht zu ändern, respektive bei 2000 zwar änderbar, wird aber nicht übernommen.

 

grizzly999

[grizzly999 11]

Falsch, die Richtlinien bleiben dann erhalten, sofern es sich um die Computer Richtlinien handelt.

Doch, war richtig. Wenn ich den Rechner aus der Domäne rausnehme in eine Arbeitsgruppe, sind die zwischengespeicherten AD-Richtlinien natürlich weg. Es wäre schlimm, wenn's nicht so wäre.

Dein Weg funktioniert natürlich auch ....

 

grizzly999

[IThome 10]

Hi Grizzly,

 

auch nicht, wenn vorher mit der Sicherheitskonfiguration und Analyse "resettet" wurde ?

Ich habe ehrlich gesagt auch nur "Einzelplatzrechner" gelesen ... :rolleyes:

[grizzly999 11]

Hi Grizzly,

 

auch nicht, wenn vorher mit der Sicherheitskonfiguration und Analyse "resettet" wurde ?

Nein, auch dann nicht, zumindest bei mir nicht

 

grizzly999

[IThome 10]

Also doch aus der Domäne raus und in eine Arbeitsgruppe rein ... :)

Gut zu wissen ... :)

[IThome 10]

@Grizzly

Du hast recht (es bleibt trotz "reset" ausgegraut, solange der Rechner Mitglied der Domäne ist) ...

[b11ck 10]

Hallo zusammen,

 

da ist ja richtig was los in meinem Thread.

 

Da der Rechner vor Ort ist, hab ichs hier mit einem Testrechner probiert und den vom Netz getrennt.

 

Anwenden der Richtlinie setup_security.inf, wie von Gulp vorgeschlagen hat bei mir funtkioniert (nach einmal an- und abmelden), jetzt kann ich ihn ändern.

 

Ich habe damit aber das Problem, dass ich nicht wirklich weis, was das sonst für Auswirkungen haben könnte. Die Kollegen haben da so eine wilde .Net Geschichte selber gestrickt und kräftig Rechte geändert.

 

Besten Dank

 

Gruß

[lefg 276]

Die Kollegen haben da so eine wilde .Net Geschichte selber gestrickt und kräftig Rechte geändert.

Falls da mit selbstgestrickten Richtlinien in die Registry geschrieben wurde, kann man resetten, ADMs Vorlagen erneuert usw. bis der Doc kommt, aus der Registry kriegt man das so nicht raus.

[IThome 10]

Ist der Rechner denn nach wie vor ein Mitglied der Domäne oder ist er jetzt Mitglied einer Arbeitsgruppe ? Ich habe den Rechner zum Mitglied der Domäne gemacht, ein GPO konfiguriert, welches das Benutzerrecht "Ändern der Systemzeit" ausschliesslich den Domänen-Benutzern erlaubt, habe dann den Rechner ohne Zugriff auf die Domäne neu gestartet, mich als Domänen-Admin (gecached) bzw. als lokaler Administrator angemeldet und kann die Richtlinie nicht ändern ...

[lefg 276]

Vollverwaltbare Richtlinien werden nach Entfernen des Rechners aus dem Verwaltungsbereich, der OU, der Domäne zurückgesetzt.

 

D.h., nach dem Entfernen des Rechners aus der Domäne sind die Richtlinien im Zustand vor dem Joinen.