• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

[Windows 7] lokaler Admin verliert Gruppe nach Domain-Verlust

drfuture

Zeitreisender
Teammitglied

drfuture
Registriert
14 Juli 2013
Beiträge
8.760
Ort
in der Zukunft
Servus zusammen,
spannende Geschichte (Wenn ich ein Problem habe dann immer was seltenes ^^)
Wir haben im Unternehmen auf allen Computern nach automatisierter Installation folgenden Stand:

Benutzer: Administrator
Kennwort: RANDOM
Status: deaktiviert
Gruppe: Administratoren

Benutzer: BlaAdmin (User wird beim Installationsprozess angelegt)
Kennwort: Wird beim aufsetzen inizial auf ein festes gesetzt und ab Domainjoin per Policy auf ein aktuelles geändert
Status: aktiv
Gruppe: Administratoren

... Nun gibt es ein Problem das 2x eintreten kann,
1. Wenn man die Domain verlässt (Oder das Computerkonto in der Domain ungültig wird)
2. gerade bei Laptops die lange nicht am Netz waren durch ein bisher unspezifiziertes Ereignis.

Das Problem ist das der Benutzer BlaAdmin dann nur noch Mitglied der Gruppe "Users" ist.
Da der Benutzer Administrator disabled und mit einem zufalls-PW versehen ist - ist dieser ebenfalls nicht benutzbar.
Dadurch steht dann erst einmal keinerlei Administrator mehr zur Verfügung.

Das Ansicht lässt sich schon lösen - mich interessiert warum der BlaAdmin die Gruppe Administratoren verliert.
irgend jemand eine Idee?
 

Xerebus

Trollfinder

X
Registriert
15 Juli 2013
Beiträge
95
BlaAdmin wird als Benutzer oder admin angelegt. Was macht die domail policy.
Ich denke mal da hier viele infos fehlen kann die keiner weiterhelfen.
Wir kennen deine policy auch nicht....
 

drfuture

Zeitreisender
Teammitglied

drfuture
Registriert
14 Juli 2013
Beiträge
8.760
Ort
in der Zukunft
  • Thread Starter Thread Starter
  • #3
... vor allem ist weiß extrem schlecht zu lesen.
ich hatte ja versucht alle Infos hinein zu packen - indirekt steht das was du suchst auch dort.
Ich habe den Status nach dem Installieren eines neuen Computers aufgezeigt - dann sind beide Benutzer Administratoren.

Aber ist ja kein Thema - ich erkläre es gerne detailierter :)
Der Benutzer BlaAdmin wird über die unattend direkt in der Gruppe der Administratoren angelegt

[src=xml] <settings pass="oobeSystem">
<component name="Microsoft-Windows-Shell-Setup" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<UserAccounts>
<LocalAccounts>
<LocalAccount wcm:action="add">
<Password>
<Value>juhuu</Value>
<PlainText>false</PlainText>
</Password>
<Group>administratoren</Group>
<Name>BlaAdmin</Name>
<Description>Lokaler Account</Description>
<DisplayName>Admin</DisplayName>
</LocalAccount>
</LocalAccounts>
</UserAccounts>
</component>
</settings>[/src]

Die Policy ändert das aktuelle Passwort und setzt die Gültigkeit auf nicht ablaufen.
Dabei handelt es sich um die Standard-Richtlinie "Lokale Benutzer und Gruppen" unter Computerkonfiguration > Einstellungen > Systemsteuerungseinstellungen.

[src=xml]<ExtensionData>
<Extension xsi:type="q1:LugsSettings" xmlns:q1="http://www.microsoft.com/GroupPolicy/Settings/Lugs">
<q1:LocalUsersAndGroups clsid="{1234E123-EB12-1b1c-1234-123FC6D12D12}">
<q1:User clsid="{DF1F1234-12E1-1d12-1B1A-D1BDE12BA1D1}" uid="{D1A12EBC-12AE-1A1D-ADD0-12C123456789}" changed="2001-01-01 01:01:01" removePolicy="0" userContext="0" image="2" name="BlaAdmin">
<q1:GPOSettingOrder>1</q1:GPOSettingOrder>
<q1:Properties userName="BlaAdmin" acctDisabled="0" neverExpires="1" noChange="1" changeLogon="0" cpassword="Judeloo" description="" fullName="Admin" newName="" action="U">
<q1:Members/>
</q1:Properties>
<q1:Filters/>
</q1:User>
</q1:LocalUsersAndGroups>
</Extension>
<Name>Local Users and Groups</Name>
</ExtensionData>[/src]
 

accC

gesperrt

A
Registriert
14 Juli 2013
Beiträge
5.250
Wie genau sieht denn das aus, läuft da ein zentraler Server, welcher die Benutzerrechte speichert? Eventuell wird nur an einer Stelle gespeichert, dass es sich bei dem Nutzer um einen Administrator handelt. Beim Trennen von der Domain steht diese Information dann schlicht nicht mehr zur Verfügung und Windows nimmt an, dass es sich um einen "normalen Nutzer" handelt. Ist jetzt einfach mal ins Blaue hinein geraten, damit habe ich mich noch nie auseinander gesetzt.
 

drfuture

Zeitreisender
Teammitglied

drfuture
Registriert
14 Juli 2013
Beiträge
8.760
Ort
in der Zukunft
  • Thread Starter Thread Starter
  • #5
Zentraler Server - bzw. mehrfach replizieter zentraler Speicherort wäre Theo. natürlich das Active-Directory, aber die lokalen Benutzer werden ganz normal wie gewohnt auch lokal gepsichert - einen anderen Weg gibt es meines Wissens auch nicht? - Gibt ja nur AD-Benutzer und lokale Benutzer.
Lokale Benutzer eines Computers lassen sich aber eben über eine Policy zentral verwalten und ändern.
 

drfuture

Zeitreisender
Teammitglied

drfuture
Registriert
14 Juli 2013
Beiträge
8.760
Ort
in der Zukunft
  • Thread Starter Thread Starter
  • #6
Tjo, wie so oft liegt die Lösung näher als man denkt...

Im Haus wird ein Tool eingesetzt das über das Loginscript etriggert wird, dieses schmeißt alle lokalen Administratoren raus und fügt dort nur diese hinzu die in einer extra DB hinterlegt sind...

Das war mir auch durchaus bewusst :D ... Dafür wurde vor ein paar Jahren als der BlaAdmin eingeführt wurde eine Ausnahme in dem Tool hinzugefügt das dieser nicht gelöscht wird.

Tjo was ich nicht wusste (und irgendwie angeblich auch keiner von denen die das Tool verwalten) - das die Ausnahme über eine AD-Variable die auf der OU der Computerkonten liegt realisiert wurde... (Der Entwickler war nicht im Haus :rolleyes:)
Vor einem halben Jahr wurden die Computerkonten in eine andere OU verschoben ..... :beer:

Somit war der BlaAdmin nach dem ersten neustart und Login eines normalen Benutzers nicht mehr in der Gruppe der Administratoren... war nur lange keinem aufgefallen da er "selten" benötigt wird... ist ja nur für den Notfall...
Und auf einen Zusammenhang mit einer AD-OU kommt man in dem Fall evtl. auch nicht direkt...

Aber so ist das Problem nun gelöst ;D
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben