Remove From My Forums

W2k8 R2 und Gruppenrichtline

Frage
0

Anmelden
Hallo,

ich habe hier in meiner Testumgebung einen W2k8 R2 Server auf diesem gibt es einen lokalen User (normale Benutzerrechte), der Server ist in einer W2k3 Domäne.

Ich habe ein Programm das soll später von Domänenbenutzern gestartet werden und der Server soll als Terminalserver laufen. Nun steht ich aber schon vor dem Problem. Damit ich das Programm als lokaler User starten kann muss ich diesen in der Lokalen Sicherheitsrichtline unter:

Sicherheitseinstellungen>Lokale Richtlinen> Zuweisen von Benutzerrechten

"Ändern der Systemzeit" und "Erstellen globaler Objekte" eintragen.

soweit funktioniert das auch. Nun würde ich aber auch gerne als Domänenbenutzer die Software nutzen.

Also Server in die Domäne, auf den Server wirken tut nur die Default Domain Policy und eine Gruppenrichtline in der ich folgendes definiert habe:

Computerkonfiguration>Windows Einstellungen>Sicherheitseinstellungen>Lokale Richtlinien>Zuweisen von Benutzerrechten

"Ändern der Systemzeit" und "Erstellen globaler Objekte" dort habe ich wieder die User Aus der Domäne eingetragen.

Die Uhrzeit kann ich auch als Domänenbenutzer verstellen, aber das Programm kann ich nicht starten.

Gebe ich dem Benutzer aber Domänenadmin rechte kann ich es starten, wie finde ich jetzt am besten raus was ein lokaler Benutzer hat was ein Domänenbenutzer nicht hat? Habe auch schon die Domänenbenutzer in die Lokale Sicherheitsrichtline eingetragen aber das hat auch nichts gebracht. Habe schon mit Process Explorer geschaut aber das hat mir auch nicht weitergeholfen. Gibts da vlt noch en anders Tool was mir weiterhelfen könnte?

mfg bacardi
- Bearbeitet bacardischmal Mittwoch, 14. Dezember 2011 20:16
Mittwoch, 14. Dezember 2011 20:14

Antworten

|

Zitieren

Antworten

0

Anmelden
Am 19.12.2011 21:14, schrieb bacardischmal:

wie war das mit "Ganz schlechte Idee" gemeint? sollte ich das nicht so machen?

Die beiden Benutzer haben nichts, aber auch garnichts miteinander zu
tun. Ich bin nur der Meinung. das die Software keine Benutzer wirklich
richtig erkennen kann und die falsche Instanz fragt.
Deswegen geht es ja mit dem lokalen Benutzer, aber nicht mit dem der
Domäne. Obwoohl sie rechte technisch absolut identisch sind.

Wenn aber Namen und Kennwort identisch sind und das System "flasch"
anfragt, denn kriegt es zumindest die "richtige" Antwort, weil du es
doppelt definierst.

Tschö
Mark

Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
GPO Tool: www.reg2xml.com - Registry Export File Converter
NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm
- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Mittwoch, 21. Dezember 2011 15:04
Montag, 19. Dezember 2011 20:35

Antworten

|

Zitieren

Alle Antworten

0

Anmelden
Hallo,

>Habe schon mit Process Explorer geschaut aber das hat mir auch nicht weitergeholfen

der Process Monitor wäre hier das bessere Tool.
Dort kannst du nach result contains denied filtern.

>soweit funktioniert das auch. Nun würde ich aber auch gerne als Domänenbenutzer die Software nutzen

Hast du einmal am Client geprüft, welche Policies tatsächlich gezogen werden?
(rsop.msc und gpresult /r)

Hast du über die GPO die Gruppe "Benutzer" in den Benutzerrechten zugewiesen?

(in dieser Gruppe ja sowohl die lokalen User als auch die Domain User sind)

MVP - Group Policy http://matthiaswolf.blogspot.com/
- Bearbeitet Matthias WolfEditor Mittwoch, 14. Dezember 2011 20:48
Mittwoch, 14. Dezember 2011 20:45

Antworten

|

Zitieren

Beantworter
0

Anmelden

Am 14.12.2011 schrieb bacardischmal:

Also Server in die Domäne, auf den Server wirken tut nur die Default Domain Policy und eine Gruppenrichtline in der ich folgendes definiert habe:

Computerkonfiguration>Windows Einstellungen>Sicherheitseinstellungen>Lokale Richtlinien>Zuweisen von Benutzerrechten

"Ändern der Systemzeit" und "Erstellen globaler Objekte" dort habe ich wieder die User Aus der Domäne eingetragen.

Die Uhrzeit kann ich auch als Domänenbenutzer verstellen, aber das Programm kann ich nicht starten.

Willst Du wirklich den Domainusern die Uhrzeit einstellen/ändern
lassen?

Gebe ich dem Benutzer aber Domänenadmin rechte kann ich es starten, wie finde ich jetzt am besten raus was ein lokaler Benutzer hat was ein Domänenbenutzer nicht hat? Habe auch schon die Domänenbenutzer in die Lokale Sicherheitsrichtline eingetragen aber das hat auch nichts gebracht.

Mit Hilfe vom ProcessMonitor kannst Du herausfinden wo genau es hakt
oder fehlt. Hier ein Beispiel das allerdings noch mit REGMON und
FILEMON arbeitet. Der Processmonitor beinhaltet mittlerweile beide
Tools in einem:
http://www.gruppenrichtlinien.de/HowTo/MusicMatch_als_Benutzer_ausfuehren.htm

Servus
Winfried

Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

Mittwoch, 14. Dezember 2011 20:48

Antworten

|

Zitieren
0

Anmelden

>Mit Hilfe vom ProcessMonitor kannst Du herausfinden wo genau es hakt
>oder fehlt. Hier ein Beispiel das allerdings noch mit REGMON und
>FILEMON arbeitet

Ich habe mal vor längerer Zeit ein kleine How-to für den Procmon geschrieben:

http://wiki.computerforum.de/doku.php?id=windows:programm-debugging_mit_prozessmonitor

MVP - Group Policy http://matthiaswolf.blogspot.com/

Donnerstag, 15. Dezember 2011 07:46

Antworten

|

Zitieren

Beantworter
0

Anmelden

> Die Uhrzeit kann ich auch als Domänenbenutzer verstellen, aber das

> Programm kann ich nicht starten.

Moin! Was genau bedeutet "kann ich nicht starten" - irgendeine Meldung

oder passiert einfach gar nichts? Und bist Du sicher, daß Dein lokaler

Benutzer nicht doch zufällig mehr Rechte hat als gedacht?

Und vielleicht kannst Du uns verraten, um welches Programm es sich handelt.

BTW: Ist UAC auf dem Server aktiv? Wenn ja, dann könnte Dir LUABugLight

von Aaron Margosis helfen.

mfg Martin

A bissle "Experience", a bissle GMV...

Donnerstag, 15. Dezember 2011 08:23

Antworten

|

Zitieren

Beantworter
0

Anmelden
Hallo,

der Lokale benutzer ist nur in der Gruppe Benutzer und Remotedesktopbenutzer, in der Domäne habe ich nun meinem Benutzer in der Gruppenrichtlinie in unter eingeschänkte Gruppen noch in die Gruppe Benutzer und Remotedesktopbenutzer gepackt.

Habe aber auch schon ein Problem mit dem ProcessMonitor, sobald ich diesen unter dem Benutzer starte wird im Taskmanager der Prozess Procmon64 über 100x geöffnet, vlt hängt da auch schon was. Hat der Benutzer Admin rechte startet Procmon.

Programm is von der Firma IDS HighLeit nur die Packen ihre Terminalserver immer in ne Arbeitsgruppe und da konnte mir keiner weiterhelfen :(

edit:

Ist UAC deaktiviert wenn der Schieberegler ganz unten ist oder ist er aktiv und holt sich bei lokalen benutzern Adminrechte? Also steht auf Nie benachrichten

mfg bacardi
- Bearbeitet bacardischmal Donnerstag, 15. Dezember 2011 09:12
Donnerstag, 15. Dezember 2011 08:56

Antworten

|

Zitieren
0

Anmelden

>Ist UAC deaktiviert wenn der Schieberegler ganz unten ist

Ja.

>Hat der Benutzer Admin rechte startet Procmon.

Der Procmon benötigt Adminrechte.

Führe bitte einmal einen whoami /all aus und poste diesen.
(zumindest den unteren Teil "BERECHTIGUNGSINFORMATIONEN")
MVP - Group Policy http://matthiaswolf.blogspot.com/

Donnerstag, 15. Dezember 2011 09:30

Antworten

|

Zitieren

Beantworter
0

Anmelden
Hallo,

ich hab hier mal ein whoami /all und gpresult /r ausgeführt und gepostet:

C:\Users\hlnt01.TEST>whoami /all

BENUTZERINFORMATIONEN
---------------------

Benutzername SID
============ ==============================================
TEST\hlnt01 S-1-5-21-2052209109-3246720558-2469135721-1120

GRUPPENINFORMATIONEN
--------------------

Gruppenname                                              Typ             SID                                            Attribute
======================================================== =============== ============================================== ===============================================================
Jeder                                                    Bekannte Gruppe S-1-1-0                                        Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Benutzer                                    Alias           S-1-5-32-545                                   Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Remotedesktopbenutzer                       Alias           S-1-5-32-555                                   Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\INTERAKTIVE REMOTEANMELDUNG                 Bekannte Gruppe S-1-5-14                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\INTERAKTIV                                  Bekannte Gruppe S-1-5-4                                        Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Authentifizierte Benutzer                   Bekannte Gruppe S-1-5-11                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Diese Organisation                          Bekannte Gruppe S-1-5-15                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
LOKAL                                                    Bekannte Gruppe S-1-2-0                                        Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
TEST\Terminaluser HLNT                                  Gruppe          S-1-5-21-2052209109-3246720558-2469135721-1121 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
Verbindliche Beschriftung\Mittlere Verbindlichkeitsstufe Bezeichnung     S-1-16-8192                                    Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe

BERECHTIGUNGSINFORMATIONEN
--------------------------

Berechtigungsname             Beschreibung                             Status
============================= ======================================== ===========
SeSystemtimePrivilege         Ändern der Systemzeit                    Deaktiviert
SeChangeNotifyPrivilege       Auslassen der durchsuchenden Überprüfung Aktiviert
SeCreateGlobalPrivilege       Erstellen globaler Objekte               Aktiviert
SeIncreaseWorkingSetPrivilege Arbeitssatz eines Prozesses vergrößern   Deaktiviert

C:\Users\hlnt01.TEST>

das

C:\Users\hlnt01.TEST>gpresult /r

Betriebssystem Microsoft (R) Windows (R) Gruppenrichtlinienergebnis-Tool v2.0
Copyright (C) Microsoft Corp. 1981-2001

Am 15.12.2011, um 10:38:17 erstellt

RSOP-Daten für TEST\hlnt01 auf TS01: Protokollmodus
-----------------------------------------------------

Betriebssystemkonfiguration: Mitgliedsserver
Betriebssystemversion:       6.1.7601
Standortname:                Nicht zutreffend
Zwischengespeichertes Profil:Nicht zutreffend
Lokales Profil:              C:\Users\hlnt01.TEST
Langsame Verbindung?         Nein

BENUTZEREINSTELLUNGEN
----------------------
    CN=hlnt01,OU=TS-Benutzer,OU=TEST,DC=TEST,DC=local
    Letzte Gruppenrichtlinienanwendung:   15.12.2011, um 10:34:54
    Gruppenrichtlinieanwendung von:       LD01.TEST.local
    Schwellenwert für langsame Verbindung:500 kbps
    Domänenname:                          TEST
    Domänentyp:                           Windows 2000

    Angewendete Gruppenrichtlinienobjekte
    --------------------------------------
        Nicht zutreffend

    Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
    ----------------------------------------------------------------------
        Richtlinien der lokalen Gruppe
            Filterung: Nicht angewendet (Leer)

        Default Domain Policy
            Filterung: Nicht angewendet (Leer)

        TerminalServer-User
            Filterung: Nicht angewendet (Leer)

    Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
    ----------------------------------------------------------
        Domänen-Benutzer
        Jeder
        Benutzer
        Remotedesktopbenutzer
        INTERAKTIVE REMOTEANMELDUNG
        INTERAKTIV
        Authentifizierte Benutzer
        Diese Organisation
        LOKAL
        Terminaluser HLNT
        Mittlere Verbindlichkeitsstufe

C:\Users\hlnt01.TEST>
- Bearbeitet bacardischmal Donnerstag, 15. Dezember 2011 09:43
Donnerstag, 15. Dezember 2011 09:39

Antworten

|

Zitieren
0

Anmelden

> C:\Users\hlnt01.TEST>gpresult /r

Mach das bitte noch mal als Admin (oder aus ner Admin-Commandline).

Momentan fehlen noch die Computer-Settings.

mfg Martin

A bissle "Experience", a bissle GMV...

Donnerstag, 15. Dezember 2011 10:40

Antworten

|

Zitieren

Beantworter
0

Anmelden

Probiers doch mal so:

Melde Deinen Domänenbenutzer an, starte per Runas eine Commandline dazu

als Domänenadmin. Aus dieser Commandline startest Du den Process

Monitor, Filter auf "Result <> Success", dann als Domänenbenutzer die

Anwendung. Und jetzt heißt es "suchen" (:

mfg Martin

A bissle "Experience", a bissle GMV...

Donnerstag, 15. Dezember 2011 10:48

Antworten

|

Zitieren

Beantworter
0

Anmelden

>SeSystemtimePrivilege Ändern der Systemzeit Deaktiviert
>...
>SeCreateGlobalPrivilege Erstellen globaler Objekte Aktiviert

Also die Berechtigung hast du.
Daran sollte es also nicht liegen.

PS:

Ich kann mir kaum vorstellen, dass der Hersteller das ausschließlich in Workgroup-Umgebungen
einsetzt.

Ich würde noch einmal mit dem Hersteller sprechen, ggf. kann dieser noch weitere Loggings aktivieren.
MVP - Group Policy http://matthiaswolf.blogspot.com/

Donnerstag, 15. Dezember 2011 12:17

Antworten

|

Zitieren

Beantworter
0

Anmelden

Ich kann mir kaum vorstellen, dass der Hersteller das ausschließlich in Workgroup-Umgebungen
einsetzt.

Ich würde noch einmal mit dem Hersteller sprechen, ggf. kann dieser noch weitere Loggings aktivieren.

Hallo,

doch leider, sie sagen sie setzten den Terminalserver immer in eine DMZ und aus diesem grund kommt er nicht in die domäne.

Also ich bin etwas weiter und habe mit ProcessMonitor geschaut und hatte 2x Access Denied auf die Registry, diese beiden Pfade habe ich nun per Gruppenrichtlinie freigegeben. Nun Steht dort dauernd:

Date & Time: 16.12.2011 07:37:21
Event Class: File System
Operation: FASTIO_NETWORK_QUERY_OPEN
Result: FAST IO DISALLOWED
Path: C:\Windows\system\libidsbasis_m11.dll
TID: 10804
Duration: 0.0000015

Hilft das vlt weiter?

Hier noch gpresult /r als admin:

C:\Users\hlnt01.TEST>gpresult /r

Betriebssystem Microsoft (R) Windows (R) Gruppenrichtlinienergebnis-Tool v2.0
Copyright (C) Microsoft Corp. 1981-2001

Am 16.12.2011, um 09:03:12 erstellt

RSOP-Daten für TEST\Administrator auf TS01: Protokollmodus
------------------------------------------------------------

Betriebssystemkonfiguration: Mitgliedsserver
Betriebssystemversion:       6.1.7601
Standortname:                Default-First-Site-Name
Zwischengespeichertes Profil:Nicht zutreffend
Lokales Profil:              C:\Users\Administrator.TEST
Langsame Verbindung?         Nein

COMPUTEREINSTELLUNGEN
----------------------
    CN=TS01,OU=TerminalServer-Computer,OU=TEST,DC=TEST,DC=local
    Letzte Gruppenrichtlinienanwendung:   16.12.2011, um 07:36:27
    Gruppenrichtlinieanwendung von:       LD02.TEST.local
    Schwellenwert für langsame Verbindung:500 kbps
    Domänenname:                          TEST
    Domänentyp:                           Windows 2000

    Angewendete Gruppenrichtlinienobjekte
    --------------------------------------
        TerminalServer-Computer
        Default Domain Policy
        Richtlinien der lokalen Gruppe

    Der Computer ist Mitglied der folgenden Sicherheitsgruppen
    ----------------------------------------------------------
        Administratoren
        Jeder
        Benutzer
        NETZWERK
        Authentifizierte Benutzer
        Diese Organisation
        TS01$
        Domänencomputer
        Systemverbindlichkeitsstufe

BENUTZEREINSTELLUNGEN
----------------------
    CN=Administrator,CN=Users,DC=TEST,DC=local
    Letzte Gruppenrichtlinienanwendung:   16.12.2011, um 09:01:57
    Gruppenrichtlinieanwendung von:       LD02.TEST.local
    Schwellenwert für langsame Verbindung:500 kbps
    Domänenname:                          TEST
    Domänentyp:                           Windows 2000

    Angewendete Gruppenrichtlinienobjekte
    --------------------------------------
        Nicht zutreffend

    Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
    ----------------------------------------------------------------------
        Richtlinien der lokalen Gruppe
            Filterung: Nicht angewendet (Leer)

        Default Domain Policy
            Filterung: Nicht angewendet (Leer)

    Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
    ----------------------------------------------------------
        Domänen-Benutzer
        Jeder
        Administratoren
        INTERAKTIV
        KONSOLENANMELDUNG
        Authentifizierte Benutzer
        Diese Organisation
        LOKAL
        Domänen-Admins
        Richtlinien-Ersteller-Besitzer
        Schema-Admins
        Organisations-Admins
        Abgelehnte RODC-Kennwortreplikationsgruppe
        Hohe Verbindlichkeitsstufe

mfg bacardi

Freitag, 16. Dezember 2011 08:05

Antworten

|

Zitieren
0

Anmelden

>Operation: FASTIO_NETWORK_QUERY_OPEN
>Result: FAST IO DISALLOWED
>Path: C:\Windows\system\libidsbasis_m11.dll
>TID: 10804
>Duration: 0.0000015

>Hilft das vlt weiter?

Leider nicht.
Die FAST IO Logs kannst du igonieren.

Das sind interne Logs die durch den Cache Manager entstehen.

(Anwendungen die versuchen ohne IRP zu lesen / schreiben)
MVP - Group Policy http://matthiaswolf.blogspot.com/

Freitag, 16. Dezember 2011 10:03

Antworten

|

Zitieren

Beantworter
0

Anmelden

> Operation: FASTIO_NETWORK_QUERY_OPEN

> Result: FAST IO DISALLOWED

> Path: C:\Windows\system\libidsbasis_m11.dll

Da sollte noch mehr zu finden sein, was Result <> SUCCESS hat. Das hier

(hat Matthias ja schon geschrieben) hilft nicht wirklich.

mfg Martin

A bissle "Experience", a bissle GMV...

Freitag, 16. Dezember 2011 12:46

Antworten

|

Zitieren

Beantworter
0

Anmelden

Am 14.12.2011 21:14, schrieb bacardischmal:

ein lokaler Benutzer hat was ein Domänenbenutzer nicht hat?

Der einzige Unterschied ist die unterschiedliche
Authentifizierungsquelle und damit Instanz, wer den BEntzer und dessen
Kennwort für berechtigt erachtet.

Es gibt keine! Sicherheitsunterschiede zwischen lokalen Benutzern und
Domänenbenutzern. Letztere werden durch den Beitritt zur Domäne in die
Gruppe der lokalen Benutzer aufgenommen.

sie sagen sie setzten den Terminalserver immer in eine DMZ und aus diesem grund kommt er nicht in die domäne.

Deswegen müssen sie ja trotzdem wissen, welche Rechte ihre SOftware
benötigt, bzw. wie deren Authentifizierungsanfragen gelöst sind.
Ich tippe nämlich auf letztere als Problem.

Aber um welche Software geht es genau?

Tschö
Mark

Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
GPO Tool: www.reg2xml.com - Registry Export File Converter
NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

Freitag, 16. Dezember 2011 13:12

Antworten

|

Zitieren
0

Anmelden

Deswegen müssen sie ja trotzdem wissen, welche Rechte ihre SOftware
benötigt, bzw. wie deren Authentifizierungsanfragen gelöst sind.
Ich tippe nämlich auf letztere als Problem.

Aber um welche Software geht es genau?

Hallo,

das hab ich auch geglaubt, aber nachdem der Inbetriebnehmer da auch nicht weiterwusste und ihm von der eigenen Firma keiner weiterhelfen könnte ham wirs schon fast aufgegeben.

Ist von IDS High-leit NT 4.19

Ich hab alle ACCESS DENIED die PocessMonitor gezeigt hatte schon ausbügeln können, da hab ich gewusst was zu tun ist, nun hab ich noch folgende Results:

BUFFER OVERFLOW,BUFFER TOO SMALL,END OF FILE,FAST IO DISALLOWED,FILE LOCKED WITH ONLY READERS,FILE LOCKED WITH WRITERS,INVALID DEVICE REQUEST,INVALID PARAMETER,IS DIRECTORY,NAME COLLISION,NAME INVALID,NAME NOT FOUND,NO MORE ENTRIES,NO MORE FILES,NO SUCH FILE,NOT REPARSE POINT,PATH NOT FOUND,REPARSE,SHARING VIOLATION

nur auf was sollte ich dabei achten?

mfg bacardi

Freitag, 16. Dezember 2011 14:17

Antworten

|

Zitieren
0

Anmelden

>Ich hab alle ACCESS DENIED die PocessMonitor gezeigt hatte schon ausbügeln können, da hab ich gewusst was zu tun ist, nun hab ich noch folgende >Results:

>BUFFER OVERFLOW,BUFFER TOO SMALL,END OF FILE,FAST IO DISALLOWED,FILE LOCKED WITH ONLY READERS,FILE LOCKED WITH WRITERS,INVALID >DEVICE REQUEST,INVALID PARAMETER,IS DIRECTORY,NAME COLLISION,NAME INVALID,NAME NOT FOUND,NO MORE ENTRIES,NO MORE FILES,NO SUCH >FILE,NOT REPARSE POINT,PATH NOT FOUND,REPARSE,SHARING VIOLATION

Hier ist nichts dabei, was mir jetzt besonders ins Auge sticht.

Was mir noch einfallen würde, ACT:

http://www.microsoft.com/download/en/details.aspx?id=7352

Hier gibt es einige sog. "Shims" die du anwenden kannst und so dem Programm ein gewisse Kompatibilität vorgaukelst.

Um das Berechtigungsproblem etwas einzugrenzen,
funktoniert die Anwendung wenn du dich mit einem Domänen-Account anmeldest der lokale Adminberechtigungen hat?

MVP - Group Policy http://matthiaswolf.blogspot.com/

Freitag, 16. Dezember 2011 15:44

Antworten

|

Zitieren

Beantworter
0

Anmelden

Um das Berechtigungsproblem etwas einzugrenzen,
funktoniert die Anwendung wenn du dich mit einem Domänen-Account anmeldest der lokale Adminberechtigungen hat?

Hallo,

ich war gerade nochmal testen,

Lokaler Benutzer: Geht

Lokaler Admin: Geht

Domänen Benutzer: Geht nicht

Domänen Benutzer mit lokalen Adminrechten: Geht nicht

Domänen Benutzer mit Domänen Adminrechten: Geht

mfg

bacardi

Freitag, 16. Dezember 2011 18:27

Antworten

|

Zitieren
0

Anmelden

>Lokaler Benutzer: Geht

>Domänen Benutzer mit lokalen Adminrechten: Geht nicht

Welches Recht sollte der lokale normale User haben, das der Domänenuser (der ja ebenfalls Admin auf den Rechner ist
und ebenfalls in der Gruppe der Benutzer) nicht hat...

Macht alles wenig Sinn.

Ist das eine Anwendung die die lokal läuft oder verbindet sich diese mit einem Server oder dem Internet?

Da es sich um einen Terminalserver handelt, ändert sich das Verhalten wenn diese im Installationsmodus ist?

(change user /install)

MVP - Group Policy http://matthiaswolf.blogspot.com/

Freitag, 16. Dezember 2011 21:57

Antworten

|

Zitieren

Beantworter
0

Anmelden

Am 15.12.2011 schrieb Matthias Wolf [MVP]:

Mit Hilfe vom ProcessMonitor kannst Du herausfinden wo genau es hakt
oder fehlt. Hier ein Beispiel das allerdings noch mit REGMON und
FILEMON arbeitet

Ich habe mal vor längerer Zeit ein kleine How-to für den Procmon geschrieben:

http://wiki.computerforum.de/doku.php?id=windows:programm-debugging_mit_prozessmonitor

Cool, wenn Du das Mark zum uploaden schickst, dann hätte ich eine
Stelle zum nachsehen der URL. ;)

Servus
Winfried

Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Community Forums NNTP Bridge: http://communitybridge.codeplex.com/
Reg2xml: http://www.reg2xml.com - Registry Export File Converter

Freitag, 16. Dezember 2011 23:01

Antworten

|

Zitieren
0

Anmelden

Am 16.12.2011 schrieb bacardischmal:

ich war gerade nochmal testen,

Lokaler Benutzer: Geht

Lokaler Admin: Geht

Domänen Benutzer: Geht nicht

Es fehlen dem Domain User NTFS-Berechtigungen auf einem Server.

Domänen Benutzer mit lokalen Adminrechten: Geht nicht

Domänen Benutzer mit Domänen Adminrechten: Geht

Es fehlen dem Domain User NTFS-Berechtigungen auf einem Server. Wie
genau erfolgt der Zugriff auf einen/den Server?

Servus
Winfried

Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Community Forums NNTP Bridge: http://communitybridge.codeplex.com/
Reg2xml: http://www.reg2xml.com - Registry Export File Converter

Freitag, 16. Dezember 2011 23:05

Antworten

|

Zitieren
0

Anmelden

Am 16.12.2011 schrieb bacardischmal:

das hab ich auch geglaubt, aber nachdem der Inbetriebnehmer da auch nicht weiterwusste und ihm von der eigenen Firma keiner weiterhelfen könnte ham wirs schon fast aufgegeben.

An der Stelle hätte man die SW ablehnen sollen. Ich kann nicht
verstehen, weshalb es im Jahr 2011 immer noch so viele kaputte
Software gibt, und es immer noch so viele Firmen gibt, die so viel
Geld für so kaputte Software ausgeben.

nur auf was sollte ich dabei achten?

Verwendet das Programm verschiedene EXEN?

Servus
Winfried

Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Community Forums NNTP Bridge: http://communitybridge.codeplex.com/
Reg2xml: http://www.reg2xml.com - Registry Export File Converter

Freitag, 16. Dezember 2011 23:08

Antworten

|

Zitieren
0

Anmelden
Am 16.12.2011 schrieb bacardischmal:

ich war gerade nochmal testen,

Lokaler Benutzer: Geht

Lokaler Admin: Geht

Domänen Benutzer: Geht nicht

Es fehlen dem Domain User NTFS-Berechtigungen auf einem Server.

Domänen Benutzer mit lokalen Adminrechten: Geht nicht

Domänen Benutzer mit Domänen Adminrechten: Geht

Es fehlen dem Domain User NTFS-Berechtigungen auf einem Server. Wie
genau erfolgt der Zugriff auf einen/den Server?

Wo fehlen die Rechte? Also lokal hat der Domänenbenutzer auf das Verzeichniss schon Vollzugriff. Am Server auf den sich die Anwendung verbindet kann es glaube ich nicht liegen, denn ich kann mich auch mit Computern die in einer anderen Domäne sind verbinden. Das Programm muss auch ohne zugriff auf die Server hochfahren, bei mir gehts nichtmal auf, nur im Taskmanager sind en paar prozesse zu sehen.

Verwendet das Programm verschiedene EXEN?

ja, wird über ewig viele .bat dateiten mit vielen exen gestartet. wollte schonmal en auszug von ProzessMonitor hochladen aber der is so groß...

mfg bacardi
- Bearbeitet bacardischmal Freitag, 16. Dezember 2011 23:34
Freitag, 16. Dezember 2011 23:28

Antworten

|

Zitieren
0

Anmelden

Am 17.12.2011 schrieb bacardischmal:

Es fehlen dem Domain User NTFS-Berechtigungen auf einem Server. Wie
genau erfolgt der Zugriff auf einen/den Server?

Wo fehlen die Rechte? Also lokal hat der Domänenbenutzer auf das Verzeichniss schon Vollzugriff. Am Server auf den sich die Anwendung verbindet kann es glaube ich nicht liegen, denn ich kann mich auch mit Computern die in einer anderen Domäne sind verbinden. Das Programm muss auch ohne zugriff auf die Server hochfahren, bei mir gehts nichtmal auf, nur im Taskmanager sind en paar prozesse zu sehen.

Ist auf den anderen Servern denn UAC aktiv?

Verwendet das Programm verschiedene EXEN?

ja, wird über ewig viele .bat dateiten mit vielen exen gestartet. wollte schonmal en auszug von ProzessMonitor hochladen aber der is so groß...

Du kannst die Logfiles auf dein Skydrive uploaden und den Link hier
posten.
http://social.answers.microsoft.com/Forums/de-DE/w7networkde/thread/af6c55f1-0e82-460e-babb-794ff26e5698

Servus
Winfried

Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Community Forums NNTP Bridge: http://communitybridge.codeplex.com/
Reg2xml: http://www.reg2xml.com - Registry Export File Converter

Freitag, 16. Dezember 2011 23:42

Antworten

|

Zitieren
0

Anmelden
Hallo,

nein, UAC ist überall aus.

gezippt wurden die files ja schön klein:

http://178.162.186.211/Logfile(Domaenenbenutzer_mit_Domaenenadmin).zip

http://178.162.186.211/Logfile(lokaler_Benutzer_ohne_admin).zip

mfg bacardi
- Bearbeitet bacardischmal Samstag, 17. Dezember 2011 09:04
Samstag, 17. Dezember 2011 09:04

Antworten

|

Zitieren
0

Anmelden

>http://178.162.186.211/Logfile(Domaenenbenutzer_mit_Domaenenadmin).zip

>http://178.162.186.211/Logfile(lokaler_Benutzer_ohne_admin).zip

Würde ich gerne anschauen, kanns aber gerade nicht, da ich ein x86 OS habe und damit die x64 Logfiles nicht öffnen kann.

>Domänen Benutzer: Geht nicht

Packe bitte den Domänen User einmal exakt in die gleichen Gruppen wie den Domänen Admin,

außer: Domain\Domain Admins, Domain\Administrators

>Lokaler Benutzer: Geht
>Lokaler Admin: Geht

Mach bitte einmal von beiden Usern einen "whoami /all"

(sollte für lokale Benutzer auch gehen.. )

MVP - Group Policy http://matthiaswolf.blogspot.com/

Sonntag, 18. Dezember 2011 11:56

Antworten

|

Zitieren

Beantworter
0

Anmelden

Würde ich gerne anschauen, kanns aber gerade nicht, da ich ein x86 OS habe und damit die x64 Logfiles nicht öffnen kann.

könnte es dir als csv hochladen, nur is halt dann der schöne Komfort verloren

>Domänen Benutzer: Geht nicht
Packe bitte den Domänen User einmal exakt in die gleichen Gruppen wie den Domänen Admin,

außer: Domain\Domain Admins, Domain\Administrator

komm erst morgen wieder an meinen Server, aber meinst dann den User in die Gruppen

Organisations-Admins, Schema-Admins usw?

Sonntag, 18. Dezember 2011 12:35

Antworten

|

Zitieren
0

Anmelden
Hallo,

habe gerade noch mal getestet, muss mich korrigieren

Domänenbenutzer mit LokalAdmin geht, ka was ich da am Freitag getestet hatte, war wohl doch etwas zu spät.

Habe nun mal den Benutzer in alle lokale Gruppen außer administratoren, aber das funktioniert dann auch nicht.

Hier das whoami /all

Domänenbenutzer:

C:\Users\hlnt01.TEST>whoami /all

BENUTZERINFORMATIONEN
---------------------

Benutzername SID
============ ==============================================
TEST\hlnt01 S-1-5-21-2052209109-3246720558-2469135721-1120

GRUPPENINFORMATIONEN
--------------------

Gruppenname                                              Typ             SID                                            Attribute
======================================================== =============== ============================================== ===============================================================
Jeder                                                    Bekannte Gruppe S-1-1-0                                        Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Benutzer                                    Alias           S-1-5-32-545                                   Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Remotedesktopbenutzer                       Alias           S-1-5-32-555                                   Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\INTERAKTIVE REMOTEANMELDUNG                 Bekannte Gruppe S-1-5-14                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\INTERAKTIV                                  Bekannte Gruppe S-1-5-4                                        Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Authentifizierte Benutzer                   Bekannte Gruppe S-1-5-11                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Diese Organisation                          Bekannte Gruppe S-1-5-15                                       Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
LOKAL                                                    Bekannte Gruppe S-1-2-0                                        Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
TEST\Terminaluser HLNT                                  Gruppe          S-1-5-21-2052209109-3246720558-2469135721-1121 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
Verbindliche Beschriftung\Mittlere Verbindlichkeitsstufe Bezeichnung     S-1-16-8192                                    Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe

BERECHTIGUNGSINFORMATIONEN
--------------------------

Berechtigungsname             Beschreibung                             Status
============================= ======================================== ===========
SeSystemtimePrivilege         Ändern der Systemzeit                    Deaktiviert
SeChangeNotifyPrivilege       Auslassen der durchsuchenden Überprüfung Aktiviert
SeCreateGlobalPrivilege       Erstellen globaler Objekte               Aktiviert
SeIncreaseWorkingSetPrivilege Arbeitssatz eines Prozesses vergrößern   Deaktiviert

C:\Users\hlnt01.TEST>

Lokaler Admin:

C:\Users\Administrator>whoami /all

BENUTZERINFORMATIONEN
---------------------

Benutzername       SID
================== ============================================
ts01\administrator S-1-5-21-771733429-3562255513-2749099550-500

GRUPPENINFORMATIONEN
--------------------

Gruppenname                                          Typ             SID          Attribute
==================================================== =============== ============ ================================================================================
Jeder                                                Bekannte Gruppe S-1-1-0      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Administratoren                         Alias           S-1-5-32-544 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer
VORDEFINIERT\Benutzer                                Alias           S-1-5-32-545 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\INTERAKTIVE REMOTEANMELDUNG             Bekannte Gruppe S-1-5-14     Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\INTERAKTIV                              Bekannte Gruppe S-1-5-4      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Authentifizierte Benutzer               Bekannte Gruppe S-1-5-11     Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Diese Organisation                      Bekannte Gruppe S-1-5-15     Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
LOKAL                                                Bekannte Gruppe S-1-2-0      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\NTLM-Authentifizierung                  Bekannte Gruppe S-1-5-64-10 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe Bezeichnung     S-1-16-12288 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe

BERECHTIGUNGSINFORMATIONEN
--------------------------

Berechtigungsname               Beschreibung                                             Status
=============================== ======================================================== ===========
SeIncreaseQuotaPrivilege        Anpassen von Speicherkontingenten für einen Prozess      Deaktiviert
SeSecurityPrivilege             Verwalten von Überwachungs- und Sicherheitsprotokollen   Deaktiviert
SeTakeOwnershipPrivilege        Übernehmen des Besitzes von Dateien und Objekten         Deaktiviert
SeLoadDriverPrivilege           Laden und Entfernen von Gerätetreibern                   Deaktiviert
SeSystemProfilePrivilege        Erstellen eines Profils der Systemleistung               Deaktiviert
SeSystemtimePrivilege           Ändern der Systemzeit                                    Deaktiviert
SeProfileSingleProcessPrivilege Erstellen eines Profils für einen Einzelprozess          Deaktiviert
SeIncreaseBasePriorityPrivilege Anheben der Zeitplanungspriorität                        Deaktiviert
SeCreatePagefilePrivilege       Erstellen einer Auslagerungsdatei                        Deaktiviert
SeBackupPrivilege               Sichern von Dateien und Verzeichnissen                   Deaktiviert
SeRestorePrivilege              Wiederherstellen von Dateien und Verzeichnissen          Deaktiviert
SeShutdownPrivilege             Herunterfahren des Systems                               Deaktiviert
SeDebugPrivilege                Debuggen von Programmen                                  Deaktiviert
SeSystemEnvironmentPrivilege    Verändern der Firmwareumgebungsvariablen                 Deaktiviert
SeChangeNotifyPrivilege         Auslassen der durchsuchenden Überprüfung                 Aktiviert
SeRemoteShutdownPrivilege       Erzwingen des Herunterfahrens von einem Remotesystem aus Deaktiviert
SeUndockPrivilege               Entfernen des Computers von der Dockingstation           Deaktiviert
SeManageVolumePrivilege         Durchführen von Volumewartungsaufgaben                   Deaktiviert
SeImpersonatePrivilege          Annehmen der Clientidentität nach Authentifizierung      Aktiviert
SeCreateGlobalPrivilege         Erstellen globaler Objekte                               Aktiviert
SeIncreaseWorkingSetPrivilege   Arbeitssatz eines Prozesses vergrößern                   Deaktiviert
SeTimeZonePrivilege             Ändern der Zeitzone                                      Deaktiviert
SeCreateSymbolicLinkPrivilege   Erstellen symbolischer Verknüpfungen                     Deaktiviert

C:\Users\Administrator>

lokaler User

C:\Users\hlnt01>whoami /all

BENUTZERINFORMATIONEN
---------------------

Benutzername SID
============ =============================================
ts01\hlnt01 S-1-5-21-771733429-3562255513-2749099550-1000

GRUPPENINFORMATIONEN
--------------------

Gruppenname                                              Typ             SID          Attribute
======================================================== =============== ============ ===============================================================
Jeder                                                    Bekannte Gruppe S-1-1-0      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Remotedesktopbenutzer                       Alias           S-1-5-32-555 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Benutzer                                    Alias           S-1-5-32-545 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\INTERAKTIV                                  Bekannte Gruppe S-1-5-4      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
KONSOLENANMELDUNG                                        Bekannte Gruppe S-1-2-1      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Authentifizierte Benutzer                   Bekannte Gruppe S-1-5-11     Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Diese Organisation                          Bekannte Gruppe S-1-5-15     Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
LOKAL                                                    Bekannte Gruppe S-1-2-0      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\NTLM-Authentifizierung                      Bekannte Gruppe S-1-5-64-10 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
Verbindliche Beschriftung\Mittlere Verbindlichkeitsstufe Bezeichnung     S-1-16-8192 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe

BERECHTIGUNGSINFORMATIONEN
--------------------------

Berechtigungsname             Beschreibung                             Status
============================= ======================================== ===========
SeChangeNotifyPrivilege       Auslassen der durchsuchenden Überprüfung Aktiviert
SeIncreaseWorkingSetPrivilege Arbeitssatz eines Prozesses vergrößern   Deaktiviert

C:\Users\hlnt01>
- Bearbeitet bacardischmal Montag, 19. Dezember 2011 10:16
Montag, 19. Dezember 2011 09:28

Antworten

|

Zitieren
0

Anmelden

> Domänenbenutzer mit LokalAdmin geht, ka was ich da am Freitag getestet

> hatte, war wohl doch etwas zu spät.

Dann aktiviere doch mal UAC und teste Deine Anwendung mit LUABugLight.

mfg Martin

A bissle "Experience", a bissle GMV...

Montag, 19. Dezember 2011 12:29

Antworten

|

Zitieren

Beantworter
0

Anmelden

>BERECHTIGUNGSINFORMATIONEN
>--------------------------
>
>Berechtigungsname Beschreibung Status
>============================= ======================================== ===========
>SeChangeNotifyPrivilege Auslassen der durchsuchenden Überprüfung Aktiviert
>SeIncreaseWorkingSetPrivilege Arbeitssatz eines Prozesses vergrößern Deaktiviert

Also da dein lokaler Benutzer nicht das Recht hat die Systemzeit zu ändern

und ebenfalls nicht das Recht hat globale Objekte zu erstellen, die Anwendung aber trotzdem funktioniert,

können diese zwei Privilegien schon einmal keine Auswirkung haben!

Hatte das Wechseln des Installationsmodus irgendetwas bewirkt?
(change user /install)
MVP - Group Policy http://matthiaswolf.blogspot.com/

Montag, 19. Dezember 2011 12:39

Antworten

|

Zitieren

Beantworter
0

Anmelden

Hallo,

naja dann kommt halt nach dem starten ne fehlermeldung das er die Zeit nicht setzten kann, is scheinbar durch die Gruppenrichtline rausgeflogen.

Hier die Log von LUABugLight:

List of items identified by LUA Buglight
Source report: C:\Users\hlnt01.TEST\Documents\LuaBugLogs\starthl.cmd-20111219-145252.xml

Files and folders:
\Device\Mailslot

Group Checks:
Name: hlnt01; SID: S-1-5-21-771733429-3562255513-2749099550-1000
Name: VORDEFINIERT\Administratoren; SID: S-1-5-32-544

Other Objects:
Process: ProcessID 1000 (\Device\HarddiskVolume1\Windows\System32\svchost.exe)
Process: ProcessID 1048 (\Device\HarddiskVolume1\Windows\System32\svchost.exe)
Process: ProcessID 1060 (\Device\HarddiskVolume1\Windows\System32\rdpclip.exe)
Process: ProcessID 1072 (\Device\HarddiskVolume1\Program Files\HP\Cissesrv\cissesrv.exe)
Process: ProcessID 1096 (\Device\HarddiskVolume1\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe)
Process: ProcessID 1172 (\Device\HarddiskVolume1\Windows\System32\dwm.exe)
Process: ProcessID 1184 (\Device\HarddiskVolume1\Windows\System32\svchost.exe)
Process: ProcessID 12 (\Device\HarddiskVolume1\Windows\System32\svchost.exe)
Process: ProcessID 1204 (\Device\HarddiskVolume1\Windows\System32\inetsrv\inetinfo.exe)
Process: ProcessID 1264 (\Device\HarddiskVolume1\Program Files\Hewlett-Packard\iLO 3\service\ProLiantMonitor.exe)
Process: ProcessID 1304 (\Device\HarddiskVolume1\Windows\System32\svchost.exe)
Process: ProcessID 1364 (\Device\HarddiskVolume1\Windows\System32\TCPSVCS.EXE)
Process: ProcessID 1384 (\Device\HarddiskVolume1\Windows\System32\snmp.exe)
Process: ProcessID 1428 (\Device\HarddiskVolume1\hp\hpsmh\bin\smhstart.exe)
Process: ProcessID 1512 (\Device\HarddiskVolume1\Windows\System32\svchost.exe)
Process: ProcessID 1536 (\Device\HarddiskVolume1\Windows\System32\svchost.exe)
Process: ProcessID 1560 (\Device\HarddiskVolume1\Windows\System32\CPQNiMgt\cpqnimgt.exe)
Process: ProcessID 1708 (\Device\HarddiskVolume1\Windows\System32\CpqMgmt\cqmgserv\cqmgserv.exe)
Process: ProcessID 1740 (\Device\HarddiskVolume1\Windows\System32\CpqMgmt\cqmgstor\cqmgstor.exe)
Process: ProcessID 1800 (\Device\HarddiskVolume1\Windows\System32\cmd.exe)
Process: ProcessID 1820 (\Device\HarddiskVolume1\Windows\System32\conhost.exe)
Process: ProcessID 1880 (\Device\HarddiskVolume1\hp\hpsmh\bin\hpsmhd.exe)
Process: ProcessID 1916 (\Device\HarddiskVolume1\Windows\System32\svchost.exe)
Process: ProcessID 2052 (\Device\HarddiskVolume1\Windows\System32\winlogon.exe)
Process: ProcessID 2088 (\Device\HarddiskVolume1\Windows\System32\wbem\WmiPrvSE.exe)
Process: ProcessID 2188 (\Device\HarddiskVolume1\Windows\System32\cmd.exe)
Process: ProcessID 2196 (\Device\HarddiskVolume1\hp\hpsmh\bin\rotatelogs.exe)
Process: ProcessID 2204 (\Device\HarddiskVolume1\Windows\System32\cmd.exe)
Process: ProcessID 2216 (\Device\HarddiskVolume1\hp\hpsmh\bin\rotatelogs.exe)
Process: ProcessID 2264 (\Device\HarddiskVolume1\hp\hpsmh\bin\hpsmhd.exe)
Process: ProcessID 2352 (\Device\HarddiskVolume1\Windows\System32\cmd.exe)
Process: ProcessID 2360 (\Device\HarddiskVolume1\Windows\System32\conhost.exe)
Process: ProcessID 2376 (\Device\HarddiskVolume1\hp\hpsmh\bin\rotatelogs.exe)
Process: ProcessID 2384 (\Device\HarddiskVolume1\Windows\System32\cmd.exe)
Process: ProcessID 2392 (\Device\HarddiskVolume1\Windows\System32\conhost.exe)
Process: ProcessID 2408 (\Device\HarddiskVolume1\hp\hpsmh\bin\rotatelogs.exe)
Process: ProcessID 252 (\Device\HarddiskVolume1\Windows\System32\smss.exe)
Process: ProcessID 3348 (\Device\HarddiskVolume1\Windows\System32\CpqMgmt\cqmghost\cqmghost.exe)
Process: ProcessID 3448 (\Device\HarddiskVolume1\Windows\System32\svchost.exe)
Process: ProcessID 3488 (\Device\HarddiskVolume1\Windows\System32\svchost.exe)
Process: ProcessID 368 (\Device\HarddiskVolume1\Windows\System32\csrss.exe)
Process: ProcessID 3800 (\Device\HarddiskVolume1\Windows\System32\sppsvc.exe)
Process: ProcessID 3872 (\Device\HarddiskVolume1\Windows\System32\taskhost.exe)
Process: ProcessID 3944 (\Device\HarddiskVolume1\Windows\System32\msdtc.exe)
Process: ProcessID 424 (\Device\HarddiskVolume1\Windows\System32\wininit.exe)
Process: ProcessID 4256 (\Device\HarddiskVolume1\Windows\System32\csrss.exe)
Process: ProcessID 4292 (\Device\HarddiskVolume1\Windows\System32\winlogon.exe)
Process: ProcessID 432 (\Device\HarddiskVolume1\Windows\System32\csrss.exe)
Process: ProcessID 4496 (\Device\HarddiskVolume1\Windows\explorer.exe)
Process: ProcessID 4572 (\Device\HarddiskVolume1\Program Files\HP\NCU\cpqteam.exe)
Process: ProcessID 484 (\Device\HarddiskVolume1\Windows\System32\winlogon.exe)
Process: ProcessID 4840 (\Device\HarddiskVolume1\Windows\servicing\TrustedInstaller.exe)
Process: ProcessID 4884 (\Device\HarddiskVolume1\Windows\System32\mmc.exe)
Process: ProcessID 532 (\Device\HarddiskVolume1\Windows\System32\services.exe)
Process: ProcessID 540 (\Device\HarddiskVolume1\Windows\System32\lsass.exe)
Process: ProcessID 548 (\Device\HarddiskVolume1\Windows\System32\lsm.exe)
Process: ProcessID 5848 (\Device\HarddiskVolume1\Windows\System32\csrss.exe)
Process: ProcessID 640 (\Device\HarddiskVolume1\Windows\System32\svchost.exe)
Process: ProcessID 724 (\Device\HarddiskVolume1\Windows\System32\svchost.exe)
Process: ProcessID 804 (\Device\HarddiskVolume1\Windows\System32\LogonUI.exe)
Process: ProcessID 812 (\Device\HarddiskVolume1\Windows\System32\svchost.exe)
Process: ProcessID 860 (\Device\HarddiskVolume1\Windows\System32\svchost.exe)
Process: ProcessID 912 (\Device\HarddiskVolume1\Windows\System32\svchost.exe)
Process: ProcessID 960 (\Device\HarddiskVolume1\Windows\System32\svchost.exe)
Process: ProcessID 992 (\Device\HarddiskVolume1\Windows\System32\spoolsv.exe)

Montag, 19. Dezember 2011 13:56

Antworten

|

Zitieren
0

Anmelden

> Hier die Log von LUABugLight:

Das gibt leider nix her...

A bissle "Experience", a bissle GMV...

Montag, 19. Dezember 2011 14:31

Antworten

|

Zitieren

Beantworter
0

Anmelden
>naja dann kommt halt nach dem starten ne fehlermeldung das er die Zeit nicht setzten kann, is scheinbar durch die >Gruppenrichtline rausgeflogen.

Also sei mir nicht böse, aber wenn das Programm zwingend die Systemzeit setzen muss, dann
hat es auch in einer Domänenumgebung nichts zu suchen.

Dort muss die Zeit vom DC vorgegeben werden.

Zeitsprünge in beide Richtungen sind hier tötlich.

(für diesen jeweiligen Server).

Wenn ihr für die Anwendung Geld bezahlt habt, nervt den Hersteller so lange bis ihr eine Lösung habt.
Wenn ihr ohnehin keinen aktiven Wartungsvertrag mit dieser Software habt, schaut euch nach etwas anderem um.

Ich weiß, dass sagt sich alles leicht, aber das ist die einzig professionelle Lösung.

MVP - Group Policy http://matthiaswolf.blogspot.com/
- Bearbeitet Matthias WolfEditor Montag, 19. Dezember 2011 16:09
Montag, 19. Dezember 2011 16:09

Antworten

|

Zitieren

Beantworter
0

Anmelden

Hallo,

die Zeitsprünge können nicht so groß sein und auch nicht das Problem, da sich die Software die Zeit am ende vom DC holt.

Die Software kann ich mir leider nicht aussuchen das machen andere....

Gibts noch was das ich testen könnte?

mfg bacardi

Montag, 19. Dezember 2011 17:11

Antworten

|

Zitieren
0

Anmelden

Am 19.12.2011 18:11, schrieb bacardischmal:

Gibts noch was das ich testen könnte?

Ganz schlechte Idee:
- Erstelle Lokal einen Benutzer mit Kennwort
- Erstelle in der Domäne einen Benutzer mit dem gleichen Namen und
Kennwort

Gehts dann mit dem Domänen-Benutzer?

Tschö
Mark

Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
GPO Tool: www.reg2xml.com - Registry Export File Converter
NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

Montag, 19. Dezember 2011 19:26

Antworten

|

Zitieren
0

Anmelden
äh so ist es zu zeit, und das geht nicht.

wie war das mit "Ganz schlechte Idee" gemeint? sollte ich das nicht so machen?
- Bearbeitet bacardischmal Montag, 19. Dezember 2011 20:26
Montag, 19. Dezember 2011 20:14

Antworten

|

Zitieren
0

Anmelden
Am 19.12.2011 21:14, schrieb bacardischmal:

wie war das mit "Ganz schlechte Idee" gemeint? sollte ich das nicht so machen?

Die beiden Benutzer haben nichts, aber auch garnichts miteinander zu
tun. Ich bin nur der Meinung. das die Software keine Benutzer wirklich
richtig erkennen kann und die falsche Instanz fragt.
Deswegen geht es ja mit dem lokalen Benutzer, aber nicht mit dem der
Domäne. Obwoohl sie rechte technisch absolut identisch sind.

Wenn aber Namen und Kennwort identisch sind und das System "flasch"
anfragt, denn kriegt es zumindest die "richtige" Antwort, weil du es
doppelt definierst.

Tschö
Mark

Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
GPO Tool: www.reg2xml.com - Registry Export File Converter
NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm
- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Mittwoch, 21. Dezember 2011 15:04
Montag, 19. Dezember 2011 20:35

Antworten

|

Zitieren
0

Anmelden

Die beiden Benutzer haben nichts, aber auch garnichts miteinander zu
tun. Ich bin nur der Meinung. das die Software keine Benutzer wirklich
richtig erkennen kann und die falsche Instanz fragt.
Deswegen geht es ja mit dem lokalen Benutzer, aber nicht mit dem der
Domäne. Obwoohl sie rechte technisch absolut identisch sind.

Wenn aber Namen und Kennwort identisch sind und das System "flasch"
anfragt, denn kriegt es zumindest die "richtige" Antwort, weil du es
doppelt definierst.

Hallo,

also es ist der hammer das es an so einer Kleinigkeit liegen kann.

Hab nun einen anderen Benutzer genommen und dann läuft es ohne Problem.

Nochmals vielen dank *in die Luft spring*

gruß

bacardi

Dienstag, 20. Dezember 2011 07:27

Antworten

|

Zitieren
0

Anmelden

Matthias Wolf [MVP] wrote:

Ich habe mal vor längerer Zeit ein kleine How-to für den Procmon
geschrieben:

http://wiki.computerforum.de/doku.php?id=windows:programm-debugging_mit_prozessmonitor

Ah, ein weiterer DokuWiki-Benutzer! :-)

Der Download-Link im Artikel ist falsch. Da ist "http//" zu viel.
Außerdem könnte man noch den Live-Download-Link hinzufügen:
http://live.sysinternals.com/procmon.exe

Robert Riebisch
Bitte NUR in der Newsgroup antworten!
Please reply to the Newsgroup ONLY!

Robert

Montag, 26. Dezember 2011 20:58

Antworten

|

Zitieren

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

W2k8 R2 und Gruppenrichtline

Frage

Antworten

Alle Antworten