none
W2K8 Remote Desktop: User können nach einem unerwarteten Neustart den Shutdown Tracker befüllen. RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Zusammen, ich habe eine Frage zum Remote Desktop W2K8 R2 SP1. Mir ist zufällig aufgefallen, dass wenn ein Server einen unerwarteten Neustart liefert nicht nur der Admin den Shutdown Event Tracker bekommt sondern auch alle User. Für jeden User läuft im Taskmanager der shutdown.exe Prozess und User können einen Eintrag machen warum der Server neu gestartet hat. :( Für mein Verständnis bekommt dieses Fenster aber derjenige der auch Shutdown Rechte am Server hat. Nach meiner Kontrolle in den lokalen Policies haben nur Administratoren Rechte für Shutdown.

     

    Habt Ihr eine Idee was das für ein Problem sein kann oder hat das jemand von Euch auch schon festgestellt? Event. ein Bug?

    Viele Grüße

    Randy

    Donnerstag, 29. September 2011 09:26
    |

Alle Antworten

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    dein Problem ist realtiv speziell.

    Ich vermute, dass niemand eine Pauschallösung aus den Ärmel ziehen wird.

    Die erste Vermutung wäre, dass dein Benutzer tatsächlich erhöhte Rechte hat bzw.
    die Berechtigungen des Systems verbogen sind.

    Schau dir mal diesen Artikel (leider 2003) zum Event Tracker an:

    http://technet.microsoft.com/de-de/library/cc759722(WS.10).aspx

    Intressant ist dort vor allem diese Aussage:

    This file is stored in the %windir%\system32\LogFiles\Shutdown\ directory. The first user with administrative credentials who logs on to the computer after the shutdown will see a dialog box notification that reads, “The system has restarted after an unplanned shutdown. A log of this event has been created.”

    Demnach, wird also nur die Meldung angezeigt, wenn der User administrative Rechte hat.

    Zu beachten ist allerdings, wie gesagt, der Artikel gilt für Server 2003.
    Unter 2008 (und R2) schaut es technisch hier wieder komplett anders aus.

    Leider gibt es hierfür keinerlei detaillierte Beschreibung (zumindest nicht in denen Bereichen, in denen ich einsehen kann)

    Vergleiche doch bitte einmal die Berechtigungen der im Link genannten Registryschlüssel
    mit einem "normalen" System.

    Zusätzlich schau bitte einmal mittels "whoami /all", in welchen Gruppen der User Tatsächlich Mitglied ist.

    Donnerstag, 29. September 2011 20:32
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Matthias,

    thx für deine Unterstützung. Es muss definitiv etwas mit W2K8 sein, denn dieselben User haben vorher auf Win2003 kein Problem damit gehabt. Es betrifft alle User die am Remote Desktop arbeiten. Für jeden User läuft eine shutdown.exe. Ich habe nun alle lokalen Gruppen durchforstet nirgends steht eine Usergruppe oder ein expliziter User drin.

    Builtin\Users
    Builtin\Remote Desktop Users
    NT Authority\Interactive
    NT Authority\Remote Interactive Logon
    NT Authority\Authenticated Users
    NT Authority\This Organization
    Local


    Es scheint für mich ein Bug zu sein.

     

    Freitag, 30. September 2011 12:24
    |
  • Discussion
    Anmelden
    0
    Anmelden
    >Für jeden User läuft eine shutdown.exe

    Auch das ist ja nicht normal.

    Selbst wenn nur eine shutdown.exe permanent laufen würde.

    Hast du dieses Problem auch, wenn der Server nicht am Netzwerk ist?
    Freitag, 30. September 2011 19:55
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Also ohne Netzwerk gibt es kein Remote Desktop. Ich habe es als lokaler Benutzer versucht, auch er bekommt diese Meldung.
    Grüße

    randy

    Dienstag, 4. Oktober 2011 06:53
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    poste doch bitte einmal einen tasklist /v

    Lass bitte auch einmal einen "sfc /scannnow" laufen.

    Hast du bereits einen Virenscan auf dem Server durchgeführt?

    Dienstag, 4. Oktober 2011 07:30
    |
  • Discussion
    Anmelden
    0
    Anmelden
    Ich habe nun einen Call bei MS aufgemacht. Antwort in Kürze. Virus kann ausgeschlossen werden.
    Donnerstag, 6. Oktober 2011 10:53
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Ok, wäre nett wenn du noch einmal Rückinfo gibts
    wenn der Call gelöst wurde.

    Donnerstag, 6. Oktober 2011 10:58
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Habe folgende Info von MS:

    The behavior is by design. That means that if the following GPO setting is not set, the Shutdown Tracker box will appear to every user.

    Computer Configuration -> Administrative Templates -> System ->  Display Shutdown Event Tracker.

     

    Montag, 24. Oktober 2011 09:57
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    >The behavior is by design. That means that if the following GPO setting is not set, the Shutdown Tracker box will appear to >every user.

    Ok, interessant.

    Konnte ich bei uns noch nie so feststellen.

    Wenn das allerdings so ist, dann ist das natürlich relativ sinnfrei.
    (Woher soll der normale User wissen, was der Server für ein Problem hatte => Quatsch..)

    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Montag, 24. Oktober 2011 10:59
    |
  • Discussion
    Anmelden
    0
    Anmelden
    MS konnte das in ihren Testlabs genauso nachstellen. Man kann die Meldung nur via GP deaktivieren. Das Problem ist dann aber, dass der Admin diese Meldung dann auch nicht mehr bekommt, das es ja auf Machine Level passiert. Noch ärgerlicher, dass der Admin beim Reboot eines Servers keine Warnung mehr bekommt. Danke nochmal für deine Unterstützung!
    Montag, 24. Oktober 2011 12:45
    |