Stefan W 14 Geschrieben 6. April 2012 Melden Teilen Geschrieben 6. April 2012 Hallo, folgendes Problem stellt sich mir Ich habe auf eine Hand voll User und Computer (alle in der selben OU) bei denen beim Starten des Rechners eine Konfiguration der w32tm durchgeführt werden muss und ein Dienst danach neu gestartet werden muss. (die sind komplett verkonfiguriert, die Zeit synct mit den verschiedensten NTP servern im Internet - trotz domäne) w32tm /config /syncfromflags:domhier /update net stop w32time net start w32time w32tm /resync /rediscover Sollte normal kein Problem sein: (betroffenen User sind admins auf ihren Geräten) jedoch funkt die UAC inzwischen, und der User bekommt beim logonscript immer die Fehlermeldung Zugriff verweigert. Wenn sie das gleiche skript jedoch mit rechter Maustaste -> als Administrator ausführen öffnen, funktioniert es einwandfrei. Meines erachtens nach sollte für dieses Verhalten die UAC in Verbindung mit dem Adminbestätigungsmodus verantwortlich sein. Somit hab ich eine extra GPO mit dieser OU verknüpft, welche folgende Optionen der UAC ändert: Verhalten der eingabeauffortderung für erhöhte Rechte für Administratoren im Administratorbestätigungsmodus - Erhöhte Rechte ohne Eingabeaufforderung Alle administratoren im Administratorbestätigungsmodus ausführen - deaktiviert Trotzdem habe ich weiterhin den gleichen Effekt (natürlich sind die Rechner schon neu gestartet worden um die GPO anzuwenden) sieht jemand den Fehler den ich nicht sehe? Zitieren Link zu diesem Kommentar
NorbertFe 1.897 Geschrieben 6. April 2012 Melden Teilen Geschrieben 6. April 2012 Ich versteh dein Problem nicht so ganz. 1. Lokale Administrator sind schlecht. 2. Eine Batch als User zu starten wenn es um administrative Belange geht ist auch schlecht. Lösung: keine lokalen Administratoren und für den zeitdienst Zeitserver - w32time - ueber Gruppenrichtlinien konfigurieren dann brauchst du auch nicht an der UAC schrauben. Bye Norbert Zitieren Link zu diesem Kommentar
Dukel 441 Geschrieben 6. April 2012 Melden Teilen Geschrieben 6. April 2012 NTP kannst du per GPO konfigurieren. Dort kannst du eintragen welche Zeitserver genutzt werden sollen. Gibt sogar einen Link: http://www.gruppenrichtlinien.de/index.html?/HowTo/Zeitserver_per_GPO.htm Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 6. April 2012 Autor Melden Teilen Geschrieben 6. April 2012 (bearbeitet) Hi Norbert dann hab ich mein Problem schlecht beschrieben: Die User sind Softwareentwickler und sind sowieso lokale Administratoren Die PCs sind von meinem Vorgänger so konfiguriert worden, dass sie mit verschiedensten NTP im Internet syncen bzw ihre Zeit von der CMOS bekommen Ich möchte das ganze so hinbiegen, dass sie wieder vom PDC Syncen - deswegen /syncfromflags:domhier zu meinem Problem: Durch die UAC erscheint auf den Rechnern die Meldung "zugriff verweigert" außer sie führen das logon script manuell im Kontextmenü "als Administrator" aus. Ich habe mir deinen Link durchgelesen, dieser scheint mir zu helfen - erstmals danke. Jedoch irritiert mich da ein Eintrag, denn soweit ich weiß ist NT5DS zwar für die lokale Domain Zeitreplizierung, jedoch ist im Screenshot deines Links zusätzlich noch time.windows.com, 0x9 eingetragen. bleibt dieser Eintrag? oder worauf muss der gesetzt werden - auf meinen PDC? Danke nochmal :) Edit: danke auch an Dukel bearbeitet 6. April 2012 von Stefan W Dukels Beitrag nicht gesehen :) Zitieren Link zu diesem Kommentar
NorbertFe 1.897 Geschrieben 6. April 2012 Melden Teilen Geschrieben 6. April 2012 Das was der Client dort drin stehen hat ist egal, da er ja domhier syncrospector. Irgendwie logisch? Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.831 Geschrieben 9. April 2012 Melden Teilen Geschrieben 9. April 2012 Moin, da er ja domhier syncrospector Off-Topic:hat dein iPad wieder zugeschlagen oder bist du hier gerade in Terminologien abgeglitten, die auch mir nicht bekannt sind? ;) Gruß, Nils ... der immer noch nicht dazu gekommen ist, das Board mit seinem Win-8-Tablet auszuprobieren Zitieren Link zu diesem Kommentar
NorbertFe 1.897 Geschrieben 9. April 2012 Melden Teilen Geschrieben 9. April 2012 Das war das iPad, wobei ich mich grad frage, was ein syncrospector sein soll. ;) Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.831 Geschrieben 9. April 2012 Melden Teilen Geschrieben 9. April 2012 Moin, offenbar eine Apple-Software. Das erklärt, warum dein Eibrett das vorschlägt. ;) Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 1.897 Geschrieben 10. April 2012 Melden Teilen Geschrieben 10. April 2012 Kein Kommentar. :) Kann man diese dämliche Vervollständigung eigentlich irgendwo abschalten? Bye Norbert Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 11. April 2012 Autor Melden Teilen Geschrieben 11. April 2012 Nocheinmal zurück zum Thema: Seit dem ich - wie in der Anleitung beschrieben - die GPO gesetzt habe (habe lediglich den Server mit dem der PDC syncen soll geändert), erhalte ich auf den Clients und den Memberservern folgenden Fehler in etwa jede Stunde (+- ein paar Minuten). Ereignistyp: Warnung Ereignisquelle: W32Time Ereigniskategorie: Keine Ereignis-ID: 24 Datum: 11.04.2012 Zeit: 07:14:40 Benutzer: Nicht zutreffend Computer: TEST-MAIL1 Beschreibung: Zeitanbieter "NtpClient": Es wurde keine gültige Antwort vom Domänencontroller TEST-AD02.testdom.local nach 8 Kontaktversuchen empfangen. Der Domänencontroller wird nicht mehr als Zeitquelle verwendet und es wird versucht einen neuen Domänencontroller für die Synchronisierung zu finden. test-ad02 ist nicht der PDC (sondern test-ad01) hab ich was vergessen / übersehen? Zitieren Link zu diesem Kommentar
NorbertFe 1.897 Geschrieben 11. April 2012 Melden Teilen Geschrieben 11. April 2012 Was genau hast du wie eingerichtet? Der PDC Emulator syncht korrekt und protokolliert das im Eventlog auch? Bye Norbert Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 11. April 2012 Autor Melden Teilen Geschrieben 11. April 2012 Hi, Gruppenrichtlinien - Übersicht, FAQ und Tutorials exakt so wie du auf Gruppenrichtlinien.de beschrieben hast (nun sogar mit dem pool.ntp.org als zeitserver, da der andere keine Zeitdaten hergegeben hat) habe jetzt auch nochmal am PDC ein gpupdate /force gemacht, mit gpresult überprüft (bekam richtige richtlinie) den w32time dienst neu gestartet, und ein w32tm /resync /nowait /update gemacht. danach: warnung im eventlog, dass der peer pool.ntp.org nach 8 kontaktversuchen keine gültige Antwort erhalten hat, und das der peer nicht erreichbar ist. (timeservice 47) jedoch zudem die Info, dass der zeitdienst als gute zeitquelle angekündigt wird. (timeservice 143) reicht die info? lg Stefan Zitieren Link zu diesem Kommentar
NorbertFe 1.897 Geschrieben 11. April 2012 Melden Teilen Geschrieben 11. April 2012 danach: warnung im eventlog, dass der peer pool.ntp.org nach 8 kontaktversuchen keine gültige Antwort erhalten hat, und das der peer nicht erreichbar ist. (timeservice 47) Und was sagt dir das? ;) Eventuell kommst du mit deinem PDC Emulator ja nicht per udp 123 durch deine Firewall? jedoch zudem die Info, dass der zeitdienst als gute zeitquelle angekündigt wird. (timeservice 143) Das hält nicht lange an. reicht die info? Schaun wir mal. Wäre übrigens nett, wenn du Groß- und Kleinschreibung verwenden könntest. Bye Norbert Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 11. April 2012 Autor Melden Teilen Geschrieben 11. April 2012 Eventuell kommst du mit deinem PDC Emulator ja nicht per udp 123 durch deine Firewall? Das habe ich bereits so konfiguriert, nur finde ich adhok keine Möglichkeit dies zu testen. Wäre übrigens nett, wenn du Groß- und Kleinschreibung verwenden könntest. Ich werde mich bemühen :) Zitieren Link zu diesem Kommentar
NorbertFe 1.897 Geschrieben 11. April 2012 Melden Teilen Geschrieben 11. April 2012 Das habe ich bereits so konfiguriert, nur finde ich adhok keine Möglichkeit dies zu testen. Ist doch ganz einfach. Stell die Uhr mal 2 Minuten zurück oder vor und starte w32time /resync auf dem PDC Emulator. Wenn die Uhr dann wieder korrekt geht... ;) Ich werde mich bemühen :) Danke. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.