Jump to content

Gruppenrichtlinien werden nicht übernommen

neobender

Von neobender
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Gadget Grand Master

Gadget   37

Geschrieben
Geschrieben

Hi neobender,

 

Was ich eigentlich erwarte/möchte:

 

Nun eigentlich ganz einfach. Meine Benutzer sollen uneingeschränkt zugriff auf die Registrierungsdatenbank (regedit) haben und auf ihre C:\ Partition. Wobei ich letzeres noch nicht eingestellt habe.

 

Sry hast du jemals schon was von Sicherheitsstrategien gehört. Hast du den Sinn von Systemrechten verstanden?

 

Das ist definitiv die verrückteste Idee die ich 2006 bisher gehört habe. Lass die Anwender als Benutzer (nicht Hauptbenutzer o. geschweige den Admins) u. erstelle bei denen die erweiterte Rechte benötigen einfach einen weiteren "Lokalen Administrator"

 

Bitte mal hier lesen:

http://www.mcseboard.de/showthread.php?t=66853

 

LG Gadget

Link zu diesem Kommentar
neobender Enthusiast

neobender   10

Geschrieben
  • Autor
Geschrieben

Es ist mir klar das das Arbeiten unter Administratorenrechten eine potentielle Gefahr darstellt, deswegen will ich auch eine Domäne einführen.

 

Allerdings will ich auch nicht meine täglichen Arbeiten gefährden, und suchte daher erst einen Weg um den "alten Stand" wiederherzustellen, um von dort aus dann eine "vernünftige" Konfiguration zu erstellen.

 

Nunja ich bin mithilfe von einigen Google Suchbegriffen scheinbar auf einen Fehler gestoßen, den ich gemacht hab. Ich habe auf den Clients keinen DNS Eintrag auf dem Domänenserver gemacht.

 

Mache ich nun ein gpupdate so bekomme ich auch ein Ergebnis bei gpedit, und einige meiner Testrichtlinien werden übernommen.

 

Ich bedanke mich schon mal bei allen die mir versucht haben zu helfen ;-)

Link zu diesem Kommentar
Christoph35 Veteran

Christoph35   10

Geschrieben
Geschrieben

Allerdings will ich auch nicht meine täglichen Arbeiten gefährden, und suchte daher erst einen Weg um den "alten Stand" wiederherzustellen, um von dort aus dann eine "vernünftige" Konfiguration zu erstellen.

 

Ich hoffe dass Dir das gelingt, aber es wird schwer sein, das den Usern wieder abzugewöhnen...

 

Besser wäre es, mit dem Principle of least privilege zu arbeiten und von da aus die Berechtigungen soweit zu erweitern wie nötig.

 

Christoph

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben

Hallo neobende, von mir ein Willkommen am Board. :)

[ich bin absoluter Anfänger auf diesem Gebiet. Scheut euch aber trozdem nicht zu Posten
Bei der Geburt waren wir alle nackig und danch begann das Lernen. Schon in der ersten Schulklasse hatte ich eine Fibel. Sowas hatte ich auch später in der Ausbildung, bei der Bundeswehr, im ..., bis heute. Zum Aneignen von Grundlagenwissen, von Verfahrensweisen, als Nachschlagewerk ist Lesestoff unverzichtbar. Das sage ich dir als pädagogisch Erfahrener.

 

Beschaffe dir also Lesestoff im Buchhandel, im Web, im Technet. Hier im Forum müssten unter Tipps und Tricks einige (Link)-Sammlungen zum SBS existieren.

 

Wofür willst du die Domäne nutzen, als Versuchs- und Spielwiese (habe ich auch :D ), geschäftlich, beruflich? Bei den beiden letzten Punkten kommt es meist auf die Schnelligkeit der Bereitstellung, auf die Funktionsfähigkeit an.

 

http://www.sbspraxis.de/

 

Viel Erfolg

 

Edgar

Link zu diesem Kommentar
neobender Enthusiast

neobender   10

Geschrieben
  • Autor
Geschrieben

@lefg:

Ich will es beruflich Benutzen

 

 

Nun jetzt hab ich noch ein Problem, meine Clients brauchen Zugriff auf die Registry:

 

HKEY_CLASSES_ROOT -> funktioniert

HKEY_CURRENT_USER -> funktioniert

HKEY_LOCAL_MACHINE -> funktioniert nicht

HKEY_USERS -> funktioniert nicht

HKEY_CURRENT_CONFIG -> funktioniert nicht

 

Im Gruppenrichtlinienobjekt-Editor habe ich in der Computerconfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Registrierung/

Die Schlüssel CLASSES_ROOT, MACHINE und USERS eingefügt außerdem habe ich versucht die GptTmpl.inf mit den fehlenden Schlüsseln zu erweitern:

 

"HKEY_CLASSES_ROOT",0,"D:PAR(A;CI;KA;;;BA)(A;CI;KA;;;BU)(A;CI;KA;;;CO)(A;CI;KA;;;WD)(A;CI;KA;;;SY)(A;CI;KA;;;S-1-5-21-620551079-1098276707-3644237389-1140)"

"HKEY_CURRENT_USER",0,"D:PAR(A;CI;KA;;;BA)(A;CI;KA;;;BU)(A;CI;KA;;;CO)(A;CI;KA;;;WD)(A;CI;KA;;;SY)(A;CI;KA;;;S-1-5-21-620551079-1098276707-3644237389-1140)"

"HKEY_LOCAL_MACHINE",0,"D:PAR(A;CI;KA;;;BA)(A;CI;KA;;;BU)(A;CI;KA;;;CO)(A;CI;KA;;;WD)(A;CI;KA;;;SY)(A;CI;KA;;;S-1-5-21-620551079-1098276707-3644237389-1140)"

"HKEY_USERS",0,"D:PAR(A;CI;KA;;;BA)(A;CI;KA;;;BU)(A;CI;KA;;;CO)(A;CI;KA;;;WD)(A;CI;KA;;;SY)(A;CI;KA;;;S-1-5-21-620551079-1098276707-3644237389-1140)"

"HKEY_CURRENT_CONFIG",0,"D:PAR(A;CI;KA;;;BA)(A;CI;KA;;;BU)(A;CI;KA;;;CO)(A;CI;KA;;;WD)(A;CI;KA;;;SY)(A;CI;KA;;;S-1-5-21-620551079-1098276707-3644237389-1140)"

 

allerdings ohne Erfolg, was ich fast vermutet hatte, gibt es noch einen anderen Weg?

Link zu diesem Kommentar
Gadget Grand Master

Gadget   37

Geschrieben
Geschrieben

Hi Neobender,

 

allerdings ohne Erfolg, was ich fast vermutet hatte, gibt es noch einen anderen Weg?

 

ja die Einstellung ändern => Die brauchen keinen Zugriff darauf... das ist ein fataler Irrtum.

Die Berechtigungen die, die Gruppe "Benutzer" bietet sollten aussreichen.

 

Falls nicht liegt es an der Anwendung u. du musst zu Drittherstellersoftware

(z.B. Desktopstandard Policymaker Application Security; http://www.desktopstandard.com)

 

greifen o. nur explicit die Berechtigung des Unterschlüssel ändern auf welche die Applikation zugreifen muss.

 

Helfen können dir dabei die Tools: Filemon u. Regmon von http://www.sysinternals.com

 

U. noch eine Sache.. das "Non-Admin-Thema" ist nicht auf meinen Mist gewachsen falls du mir nicht glaubst:

 

http://msmvps.com/blogs/bradley/archive/2004/12/30/28434.aspx

 

http://msmvps.com/blogs/bradley/archive/2005/07/22/59250.aspx

 

u. das ganze is nicht irgendeine Nebensache, sondern die wichtigste Sicherheitsmaßnahme überhaupt imho genauso wichtig wie ein Virenscanner u. eine Firewall!

 

LG Gadget

Link zu diesem Kommentar
neobender Enthusiast

neobender   10

Geschrieben
  • Autor
Geschrieben

@Kohn

 

Ja ich nehme das ernst und meine Clients haben nun keine Adminrechte mehr, und natülich galube ich dir ;-)

 

@lefg

 

1. Jup ich meine die Rechner, die sich mit Benutzernamen anmelden die ich gerade versuche zu berechtigen.

 

2. Ja das siehst du richtig ich habe Jede menge Software die Zugriff auf die registry braucht, allerdings jetzt her zu gehen und jeden Schlüssel freizuschalten währe mir jetzt auch zu viel Aufwand, zumal ich nicht weis welches Programm noch auf die Registry zugeifen muss und wo, d.h. suche ich nach einen Weg alle Rootschlüssel freizugeben, wobei mir die Sicherheit (auch wenn viele das anders sehen) erstmal zweitrangig eine Rolle spielt, mir gehts erstmal darum so zu Arbeiten wie bisher, jedoch mit einer Domäne.

Link zu diesem Kommentar
Gadget Grand Master

Gadget   37

Geschrieben
Geschrieben

@Neobender

 

Ok wenn die Sicherheit keine Rolle spielt gib ihnen "Lokale Administratorrechte" per Gruppenrichtlinie u. das ganze funkt genauso wie ohne Domäne:

 

Was darf ein "Lokaler Admin":

http://www.gruppenrichtlinien.de/Grundlagen/Wer_darf_was.htm

 

Wie kann ich per Policy meine Benutzer (Gruppe "Domänenbenutzer") der Gruppe "Administratoren" auf den lokalen Maschinen hinzufügen:

 

Geht ganz einfach per Feature "Eingeschränkte Gruppen" (Die Übersetzung is ein bisserl Unglücklich hat mit Einschränkungen eigentlich nicht Direkt was zu tun):

 

http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm

 

LG Gadget

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben
Ja das siehst du richtig ich habe Jede menge Software die Zugriff auf die registry braucht, allerdings jetzt her zu gehen und jeden Schlüssel freizuschalten währe mir jetzt auch zu viel Aufwand, zumal ich nicht weis welches Programm noch auf die Registry zugeifen muss und wo, d.h. suche ich nach einen Weg alle Rootschlüssel freizugeben, wobei mir die Sicherheit (auch wenn viele das anders sehen) erstmal zweitrangig eine Rolle spielt, mir gehts erstmal darum so zu Arbeiten wie bisher, jedoch mit einer Domäne.

Sicherheit ist ein vorrangiges Gut.

 

Ich leiste ungern groben Verstössen Vorschub.

 

Ohne Sicherheit besteht die Gefahr, überhaupt nicht mehr arbeiten zu können.

 

Für das Problem gibt es mehrere Lösungsansätze.

 

Eines ist das Kontaktieren des Softwareherstellers.

 

Manchmal geht es wohl nicht anders.

 

Eine andere ist, den Schlüssel mit dem Regedit zu bearbeiten (rechte Maustaste, Berechtigungen)

Schau dir mal das Programm subinacl an!

 

Wie das mit der Gruppenrichtlinie geht, weiss ich im Moment nicht.

 

Kohn hat es schon empfolen, temporäre Adminrechte.

 

Über eingeschränkte Gruppen in Hauptbenutzer aufnehmen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...