none
Verhindern von Zeitzonen Änderung RRS feed

  • Frage

  • Hallo,

    ich würde gern den Windows7-Clients die Möglichkeit nehmen, dass Sie die Zeitzone ändern können. In den Gruppenrichtlinien auf unserem Windows2003-Server konnte ich leider nur das Ändern der Systemzeit verhindern.

    Habe ich das nur übersehen, oder gibt es da nichts?

    Gruß

    Sabine

    Freitag, 13. Mai 2011 12:39

Alle Antworten

  • Am 13.05.2011 schrieb Sabine A aus H:

    ich würde gern den Windows7-Clients die Möglichkeit nehmen, dass Sie die Zeitzone ändern können. In den Gruppenrichtlinien auf unserem Windows2003-Server konnte ich leider nur das Ändern der Systemzeit verhindern.

    Würde mich wundern, wenn man das mit Benutzerrechten dauerhaft
    ausführen/speichern kann. Dann wäre das abändern der Uhrzeit ja auch
    bei Benutzern möglich.

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/
    Reg2xml:  http://www.reg2xml.com - Registry Export File Converter

    Freitag, 13. Mai 2011 13:50
  • Ich vergaß zu erwähnen, dass die Benutzer über lokale Adminrechte verfügen.

    Da sich die Berechtigung zur Änderung der Systemzeit auf die Gruppe der Domänen-Administratoren ändern läßt, hatte ich auf ähnliches für die Zeitzone gehofft.

    Freitag, 13. Mai 2011 14:07
  • Hi

    Am 13.05.2011 14:39, schrieb Sabine A aus H:

    ich würde gern den Windows7-Clients die Möglichkeit nehmen, dass Sie
    die Zeitzone ändern können.

    Das darf ein Benutzer weil er ja unter Umständen für die Firma in
    anderen Ländern unterwegs ist und dann die lokale Zeitansicht braucht.

    Aus Kerberos/Ticket Sicht ist die Zeitzone unkritisch.
    De Uhrzeit wird nicht verstellt, sondern es wir nur dazu addiert oder
    davon abgezogen. Die Zeit also solche bleibt aber.
    Gruppenrichtliniken werden weiterhin angewendet und auch die Anmeldung
    ist weiterhin möglich, im Ggensatz zur "echten" Zeitänderung.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 13. Mai 2011 15:20
  • Hallo,

    als Workarround, mittels GPO die Berechtigungen der betreffenden Schlüssel ändern:

    http://msdn.microsoft.com/en-us/library/aa450660.aspx

    http://www.lockergnome.com/windows/2005/01/11/set-registry-permissions-using-group-policy/

    Ist nicht wirklich sauber, aber eine Möglichkeit.


    Freitag, 13. Mai 2011 17:13
    Beantworter
  • Am 13.05.2011 19:13, schrieb Matthias Wolf:

    http://msdn.microsoft.com/en-us/library/aa450660.aspx

    Das ist ein Link zu CE, in Win 7 darf das ein Benutzer per Design,
    habs gerade extra noch mal ausprobiert. ;-)

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 13. Mai 2011 21:30
  • >Das ist ein Link zu CE, in Win 7 darf das ein Benutzer per Design

    Spielverderber ;-)
    Aber er soll es ja gerade NICHT ändern können.

    Dann hier noch einmal zu Vollständigkeit, der gerade ermittelte Key mittel Procmon:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation
    (diesmal keine Gewähr!)

    Egal, die Idee ist jedenfalls meiner Meinung nach die Richtige.
    Den genauen Schlüssel (bzw. die Schlüssel) die berechtigt werden müssen, ermittels du am besten mit dem ProcessMonitor.


    Samstag, 14. Mai 2011 15:48
    Beantworter
  • Moin,

    Am 14.05.2011 17:48, schrieb Matthias Wolf:

    Spielverderber ;-)

    Pah! :-)

    Aber er soll es ja gerade NICHT ändern können.

    ... das ist ja mein Problem, ich verstehe den Hintergrund nicht.
    TimeZone macht ja nichts kaputt.

    Dann hier noch einmal zu Vollständigkeit, der gerade ermittelte Key mittel Procmon:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation
    (diesmal keine Gewähr!)

    Wenn ich mit die vorhandenen Berechtigungen auf dem Key anschaue, dann
    glaube ich nicht, daß es die richtige Stelle ist, dann der Benutzer darf
    dort nur "Lesen", aber er darf ja die Zeitzone ändern, also muss der
    Wert gesondert berechtigt sein, wie zB die IP Einstellungen für die
    Netzwerk Konfog Ops, oder es ist ein HKCU.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Sonntag, 15. Mai 2011 19:40
  • >... das ist ja mein Problem, ich verstehe den Hintergrund nicht.

    Ja, gut mal sehen war er spricht.

    >Wenn ich mit die vorhandenen Berechtigungen auf dem Key anschaue, dann
    >glaube ich nicht, daß es die richtige Stelle ist, dann der Benutzer darf
    >dort nur "Lesen", aber er darf ja die Zeitzone ändern

    Korrekt, laut Berechtigungen sollte es nicht gehen.
    Geht aber trotzdem.

    Hier wird wieder getrickst von Microsoft (ähnlich war es glaube ich auch beim Festlegen von Bildschirmauflösungen...).
    Geändert wird definitiv der Key in HKLM.

    Ich vermute, die eigentliche Änderung wird im Hintergrund vom User SYSTEM ausgeführt.

     


    Montag, 16. Mai 2011 06:25
    Beantworter
  • Hintergrund ist natürlich, dass jegliche Möglichkeit der Zeitmanipulation durch den Client ausgeschlossen werden soll. Zur Zeit eben auch noch mit lokalen Admin-Rechten.

    Wie sieht es z.B. mit den An-/ Abmeldeinformationen auf dem DC aus. Wird dort die Systemzeit des Clients genommen, oder die des Domänen-Controllers? 

    Montag, 16. Mai 2011 08:57
  • Hi,

    Am 16.05.2011 10:57, schrieb Sabine A aus H:

    Hintergrund ist natürlich, dass jegliche Möglichkeit der
    Zeitmanipulation durch den Client ausgeschlossen werden soll.

    Naja, er ändert sie ja nicht. Die Zeit bleibt wie sie ist.
    Das ist ja der Trick mit der Zone, damit der Benutzer auch
    international unterwegs sein kann wird nur die Ansicht geändert
    und trotzdem nichts an der Zeit ans sich.

    Wie sieht es z.B. mit den An-/ Abmeldeinformationen auf dem DC aus.
    Wird dort die Systemzeit des Clients genommen, oder die des
    Domänen-Controllers?

    Was sagt denn dein Security Eventlog dazu? ;-)

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Montag, 16. Mai 2011 09:08
  • >Wie sieht es z.B. mit den An-/ Abmeldeinformationen auf dem DC aus.
    >Wird dort die Systemzeit des Clients genommen, oder die des
    >Domänen-Controllers?

    Eine Zeitzone wird in diesem Sinne ohnehin nicht gespeichert.
    Wie Mark schon erwähnt hat, die Zeitzone ist ein Feature dass einfach nur die Zeit umrechnet.

    Wenn du z.B. mit einem Client das Eventlog deines Servers aufmachst und anschließend die Zeitzone
    am Client änderst, wird auch die Anzeige umgerechnet.

     

     

    Montag, 16. Mai 2011 12:53
    Beantworter
  • Am 16.05.2011 08:25, schrieb Matthias Wolf:

    Hier wird wieder getrickst von Microsoft

    argl .. ich hasse es. Danke!

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Montag, 16. Mai 2011 14:00
  • Am 16.05.2011 10:57, schrieb Sabine A aus H:
    > Hintergrund ist natürlich, dass jegliche Möglichkeit der
    > Zeitmanipulation durch den Client ausgeschlossen werden soll. Zur Zeit
    > eben auch noch mit lokalen Admin-Rechten.
    >
    > Wie sieht es z.B. mit den An-/ Abmeldeinformationen auf dem DC aus. Wird
    > dort die Systemzeit des Clients genommen, oder die des Domänen-Controllers?
    >
    Noch mal ein Nachtrag dazu aus unberufenem Munde ;o)
     
    Die Zeitzone ist eigentlich egal - intern wird eh UTC verwendet. Und
    wenn Deine User lokale Administratoren sind, kannst Du sie nicht
    effektiv daran hindern, das zu ändern - ein Administrator ist ein
    Administrator, und selbst wenn er irgendwas nicht dürfen sollte, kann er
    sich dieses Recht jederzeit beschaffen. Einer der Gründe, warum lokale
    Administratoren zu vermeiden sind.
     
    mfg Martin
     

    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    Dienstag, 24. Mai 2011 19:55
    Beantworter