Zeitsynchronisation in der Domain, Nutzer dürfen lokale Zeit nicht ändern

[Wolke2k4 11]

Hallo Zusammen,

 

ich brüte gerade über einem etwas kniffligen Problem.

 

Folgende Voraussetzungen:

 

1x W2K3 Domain, Clients von NT bis XP.

Im Netz läuft eine Zeiterfassungssoftware, die zum einen einen Clientteil hat (läuft logischerweise auf den Clients) und einen Serverteil (läuft natürlich auf dem Server) hat.

 

Das Problem ist folgendes:

 

Zum einen gibt es wohl PCs, die keine synchrone Zeit haben, obwohl ich im Logon Script net time \\dcname /set /yes gesetzt habe (wäre ja normalerweise nicht nötig, die Synchro sollte ja so laufen, tut sie aber nicht).

Zum anderen gibt es "schlaue DAUs", die an der lokalen Uhrzeit rumbasteln und damit natürlich versuchen die Zeiterfassung ein wenig auszutricksen.

 

Leider benötigen viele Nutzer lokale Adminrechte, sodass das ändern der Systemzeit zunächsteinmal für jeden möglich ist.

 

Meine Frage(n):

 

Wenn ich per GPO bspw. über die default Domain Policy (Computerkonfiguration --> Windows Einstellungen --> Sicherheitseinstellungen --> lokale Richtlinien --> Zuweisen von Benutzerrechten) den Domain Benutzern das "Ändern der Systemzeit" verbiete ist es dann trotzdem möglich über das Login Script den Nutzern die aktuelle Zeit mitzugeben oder wird durch das verbieten des "Ändern der Systemzeit" das net time Kommando ignoriert?

 

Was mache ich mit den NT Clients? Mit einer GPO wird es hier ja schwierig...

[Letze01 10]

Hay hay,

 

ich weiß nicht ob es früher mit dem PolEdit möglich war, genau sowas zu verbieten. Falls ja, wäre dies zumindest der Weg, um die User am Basteln zu hindern.

Somit wären dann die Einstellungen sowohl unter W2k, XP als auch unter NT zumindest mal gesperrt.

 

In dieser Situation bringt Dir allerdings Dein Eintrag zur Zeitsynchronisation im Login-Script nichts mehr, da das Script im Kontext, also mit den Berechtigungen des Users ausgeführt wird.

 

Bezüglich den W2k und XP-Rechnern kann ich Dir allerdings sagen, dass die über den Zeitdienst in der Lage sind, die Zeit zu synchronisieren. Ich hatte auch mal irgendwo einen KB-Artikel in dem beschrieben wurde, wie das auch für NT zu machen geht. Hab ich aktuell jedoch leider nicht zur Hand, ich suche aber nochmal...

 

EDIT: Kuck mal, was ich gerade noch gefunden habe... Hoffentlich hilft Dir das alles zusammen jetzt weiter ;) http://www.mcseboard.de/showthread.php?threadid=7961

[grizzly999 11]

Wenn ich per GPO bspw. über die default Domain Policy (Computerkonfiguration --> Windows Einstellungen --> Sicherheitseinstellungen --> lokale Richtlinien --> Zuweisen von Benutzerrechten) den Domain Benutzern das "Ändern der Systemzeit" verbiete ist es dann trotzdem möglich über das Login Script den Nutzern die aktuelle Zeit mitzugeben oder wird durch das verbieten des "Ändern der Systemzeit" das net time Kommando ignoriert?

Ja, wenn die Richtlinie das verbietet, verbietet sie das. Ob per GUI oder Batchdatei, man kann die Uhrzeit dann nicht ändern.

 

Was mache ich mit den NT Clients? Mit einer GPO wird es hier ja schwierig

Da müsste man das Recht lokal vergeben, oder einen Dittherstellerzeitdienst benutzen. es gibt eineige kleine Zeitdienste (Server/Client) für NT 4.0, die auch unter 2000/XP/2003 funktionieren, meist sogar besser als der zeitdienst von 2003, der ja nur ärger macht, auch mit Patch oder SP1.

Tardis 2000 fällt mir da ein, oder nettime, oder eifach googlen

 

 

grizzly999

[Wolke2k4 11]

Ok, danke erstmal für die Antworten! Tradis scheint ganz brauchbar zu sein, ich werde es mal Testen.

Und für die NT Rechner gibt es vielleicht doch die Möglichkeit die lokalen Admin Rechte zu entziehen.