none
Hauptbenutzerrechte-GPO auf W2k8R2 Std. RRS feed

  • Frage

  • Hallo,

    wir haben einen Windows 2008R2 Server und sind gerade am installieren unserer neuen Warenwirtschaft. Soweit ganz gut aber nun haben wir folgendes Problem

    Das WWS wird lokal auf einem Server installiert, der Ordner im Netz freigegeben und per Netzlaufwerk auf den Clients verbunden. Das WWS hat ein Clientupdateprogramm das bei jedem Start des WWS auf den Clients aufgerufen wird. Die Funktion soll lediglich sicherstellen das die benötigten DLL und OCX Daten auf dem Client verfügbar sind und zwar in "%windir%\system32" , und da liegt der Hund auch schon begraben bei einigen XP / Vista Clients darf der angemeldete user das nicht und verweigert das schreibrecht.

    Das ganze läuft in einer Domäne und es existieren keinerlei User auf den Clients. Nach Rücksprache mit dem Softwareentwickler meinte der das die Benutzer Hauptbenutzerrechte benötigen. Nun meine Frage : Welche der Richtlinien in der GPO veranlasst die authentifizierten Benutzer in das System32 Verzeichnis zu schreiben.

    Ich hoffe auf eine kleine Hilfe

    H.K.

    Donnerstag, 9. Februar 2012 16:38

Antworten

  • Am 09.02.2012 schrieb HKind:

    Das WWS wird lokal auf einem Server installiert, der Ordner im Netz freigegeben und per Netzlaufwerk auf den Clients verbunden. Das WWS hat ein Clientupdateprogramm das bei jedem Start des WWS auf den Clients aufgerufen wird. Die Funktion soll lediglich sicherstellen das die benötigten DLL und OCX Daten auf dem Client verfügbar sind und zwar in "%windir%\system32" , und da liegt der Hund auch schon begraben bei einigen XP / Vista Clients darf der angemeldete user das nicht und verweigert das schreibrecht.

    Du könntest den Domänen Benutzern das Schreibrecht auf die gen. DLL
    und/oder OCX Dateien geben. Du könntest aber auch beim SW Hersteller
    Schadenersatz verlangen. Im Jahr 2012 darf es keine Warenwirtschaft
    mehr geben, die ein solches Gehampel aufführt.

    Das ganze läuft in einer Domäne und es existieren keinerlei User auf den Clients. Nach Rücksprache mit dem Softwareentwickler meinte der das die Benutzer Hauptbenutzerrechte benötigen.

    Gib dem Entwickler doch diesen Artikel zu lesen:
    http://www.gruppenrichtlinien.de/HowTo/Wie_werde_ich_lokaler_Administrator.htm

    Nun meine Frage : Welche der Richtlinien in der GPO veranlasst die
    authentifizierten Benutzer in das System32 Verzeichnis zu
    schreiben.

    Wenn es denn unbedingt sein muss:
    http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/
    Reg2xml:  http://www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert HKind Freitag, 10. Februar 2012 16:31
    Donnerstag, 9. Februar 2012 23:04

Alle Antworten

  • Hallo,

    >Welche der Richtlinien in der GPO veranlasst die authentifizierten Benutzer in das System32 Verzeichnis zu schreiben

    Hauptbenutzer existieren seit Vista nur noch aus Kompatibilitätsgründen.
    Sie besitzen nur geringfügig mehr Berechtigungen als normale Benutzer.

    In das system32-Verzeichnis können nur die Administratoren schreiben.

    Generell gilt, hier hat niemand was zu schreiben oder der TrustedInstaller und das SYSTEM.


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: http://matthiaswolf.blogspot.com/


    Donnerstag, 9. Februar 2012 16:56
    Beantworter
  • Am 09.02.2012 schrieb HKind:

    Das WWS wird lokal auf einem Server installiert, der Ordner im Netz freigegeben und per Netzlaufwerk auf den Clients verbunden. Das WWS hat ein Clientupdateprogramm das bei jedem Start des WWS auf den Clients aufgerufen wird. Die Funktion soll lediglich sicherstellen das die benötigten DLL und OCX Daten auf dem Client verfügbar sind und zwar in "%windir%\system32" , und da liegt der Hund auch schon begraben bei einigen XP / Vista Clients darf der angemeldete user das nicht und verweigert das schreibrecht.

    Du könntest den Domänen Benutzern das Schreibrecht auf die gen. DLL
    und/oder OCX Dateien geben. Du könntest aber auch beim SW Hersteller
    Schadenersatz verlangen. Im Jahr 2012 darf es keine Warenwirtschaft
    mehr geben, die ein solches Gehampel aufführt.

    Das ganze läuft in einer Domäne und es existieren keinerlei User auf den Clients. Nach Rücksprache mit dem Softwareentwickler meinte der das die Benutzer Hauptbenutzerrechte benötigen.

    Gib dem Entwickler doch diesen Artikel zu lesen:
    http://www.gruppenrichtlinien.de/HowTo/Wie_werde_ich_lokaler_Administrator.htm

    Nun meine Frage : Welche der Richtlinien in der GPO veranlasst die
    authentifizierten Benutzer in das System32 Verzeichnis zu
    schreiben.

    Wenn es denn unbedingt sein muss:
    http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/
    Reg2xml:  http://www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert HKind Freitag, 10. Februar 2012 16:31
    Donnerstag, 9. Februar 2012 23:04
  • Am 09.02.2012 17:56, schrieb Matthias Wolf:
    > Hauptbenutzer existieren seit Vista nur noch aus Kompatibilitätsgründen.
    >
    > Sie besitzen nur geringfügig mehr Berechtigungen als normale Benutzer.
    >
     
    Da würde mich interessieren, wo genau... Hab seinerzeit das komplette
    Dateisystem und die Registrierung durchsucht, nirgends tauchten die
    Power User noch explizit mit anderen Rechten auf.
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV... Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Freitag, 10. Februar 2012 08:36
    Beantworter
  • Vielen Dank, wer ich soblad ich wieder an der Station bin testen und natürlich Bescheid geben ob es funktioniert hat.

    H.K.

    Freitag, 10. Februar 2012 16:33
  • >Da würde mich interessieren, wo genau... Hab seinerzeit das komplette
    >Dateisystem und die Registrierung durchsucht, nirgends tauchten die

    >Power User noch explizit mit anderen Rechten auf

    So, gerade ein unverbasteltes Windows 7 durchsucht.

    Fazit:
    Die Benutzergruppe "Hauptbenutzer" wird nicht mehr verwendent.

    Wurde also nicht an den Sicherheitsvorlagen geschraubt, ist es also völlig sinnfrei dass du deine User in
    die Hauptbenutzer aufnimmst.

    Anders schaut es natürlich auf lokalen und externen Volumes (USB, eSATA etc.) aus auf denen explizit die PU eingetragen wurden.

    Auf dem System selbst jedoch, hat die PU Gruppe keine besonderen Rechte mehr.


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: http://matthiaswolf.blogspot.com/



    Freitag, 10. Februar 2012 17:14
    Beantworter
  • Am 10.02.2012 schrieb Matthias Wolf [MVP]:

    Da würde mich interessieren, wo genau... Hab seinerzeit das komplette Dateisystem und die Registrierung durchsucht, nirgends tauchten die


    Power User noch explizit mit anderen Rechten auf

    So, gerade ein unverbasteltes Windows 7 durchsucht.

    Fazit:
    Die Benutzergruppe "Hauptbenutzer" w**ird nicht mehr verwendent.

    Wurde also nicht an den Sicherheitsvorlagen geschraubt, ist es also völlig sinnfrei dass du deine User in
    die Hauptbenutzer aufnimmst.

    Es gibt Anwendungen, die prüfen ob der Benutzer in der Gruppe der
    Hauptbenutzer ist. Mehr ist dann nicht dahinter.
    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/
    Reg2xml:  http://www.reg2xml.com - Registry Export File Converter

    Freitag, 10. Februar 2012 17:55