Discussion:
Datum- und Uhrzeitveränderung sperren
(zu alt für eine Antwort)
Hugo Biasini
2005-12-09 17:42:46 UTC
Permalink
Wenn ein User das Datum ändert, kann sich anschliessend ein anderer
User sich nicht mehr am Windows-Server anmelden.

Gibts eine Möglichkeit dies per Gruppenrichtlinie so einzurichten, dass
die User (ausser Administrator) zwar Datum und Uhrzeit anschauen, aber
nicht ändern können?
Frank Röder
2005-12-09 17:55:40 UTC
Permalink
Wenn ein User das Datum ändert, kann sich anschliessend ein anderer User
sich nicht mehr am Windows-Server anmelden.
Gibts eine Möglichkeit dies per Gruppenrichtlinie so einzurichten, dass
die User (ausser Administrator) zwar Datum und Uhrzeit anschauen, aber
nicht ändern können?
Das ist standardmäßig so. Es kann natürlich sein das die Benutzer das
Recht bekommen haben "Systemzeit ändern". Entweder kommt das Recht über
eine Gruli der Domäne oder über die lokale Sicherheitsrichtlinie.
--
Viele Grüße

Frank Röder
Hugo Biasini
2005-12-09 18:09:25 UTC
Permalink
Post by Frank Röder
Post by Hugo Biasini
Wenn ein User das Datum ändert, kann sich anschliessend ein anderer
User sich nicht mehr am Windows-Server anmelden.
Gibts eine Möglichkeit dies per Gruppenrichtlinie so einzurichten, dass
die User (ausser Administrator) zwar Datum und Uhrzeit anschauen, aber
nicht ändern können?
Das ist standardmäßig so. Es kann natürlich sein das die Benutzer das
Recht bekommen haben "Systemzeit ändern". Entweder kommt das Recht über
eine Gruli der Domäne oder über die lokale Sicherheitsrichtlinie.
Dann gehe ich davon aus, dass ich das per Richtlinie sperren kann. Aber wo?
Joachim Conrad
2005-12-09 18:30:40 UTC
Permalink
Hallo Hugo,
Post by Hugo Biasini
Post by Frank Röder
Das ist standardmäßig so. Es kann natürlich sein das die Benutzer das
Recht bekommen haben "Systemzeit ändern". Entweder kommt das Recht
über eine Gruli der Domäne oder über die lokale
Sicherheitsrichtlinie.
Dann gehe ich davon aus, dass ich das per Richtlinie sperren kann. Aber wo?
In den Sicherheitsoptionen unter "Zuweisen von Benutzerrechten"?

Tschau
Joachim
--
Joachim Conrad - MS-MVP Windows Networking
Antworten bitte nur in der NG
Die genannte E-Mail Adresse existiert, die Eingänge werden
allerdings automatisch gelöscht.
Norbert Fehlauer [MVP]
2005-12-09 22:56:24 UTC
Permalink
Joachim Conrad wrote:
Hi,
Post by Joachim Conrad
In den Sicherheitsoptionen unter "Zuweisen von Benutzerrechten"?
Bzw. man nehme den Usern die lokalen Admin- bzw. Hauptbenutzerrechte.

Bye
Norbert
--
Dilbert's words of wisdom #19: Am I getting smart with you? How would
you know?
Hugo Biasini
2005-12-20 19:52:23 UTC
Permalink
On 2005-12-09 23:56:24 +0100, "Norbert Fehlauer [MVP]"
Post by Norbert Fehlauer [MVP]
Hi,
Post by Joachim Conrad
In den Sicherheitsoptionen unter "Zuweisen von Benutzerrechten"?
Bzw. man nehme den Usern die lokalen Admin- bzw. Hauptbenutzerrechte.
Wenn ich den Ursern die lokalen Hauptbenutzerrechte wegnehme, dann
können gewisse Progs nicht mehr richtig gestartet werden. Jedenfalls
sind das meine Erfahrungen.
Mark Heitbrink [MVP]
2005-12-20 20:03:25 UTC
Permalink
Hi,
Post by Hugo Biasini
Wenn ich den Ursern die lokalen Hauptbenutzerrechte wegnehme, dann
können gewisse Progs nicht mehr richtig gestartet werden. Jedenfalls
sind das meine Erfahrungen.
Was nur eine Frage des Aufwands ist, bzw. nicht, denn in 95% liegt es
an fehlenden Rechten in %programfiles%\NamederSoftware und/oder
HKLM\Software\NamederSoftware.

Diese beiden Pfade jeweils per GPO für deine gewünschte SiGruppe
freizugeben ist in ca. 40 Sekunden erledigt. Wenn man es mindestens
schon 3-4 mal gemacht hat.
Danach sind nur noch Programme eine Herausforderung, die "zicken".

http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm

... wenn sie "zicken":
http://www.gruppenrichtlinien.de/HowTo/MusicMatch_als_Benutzer_ausfuehren.htm

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server
Homepage: www.gruppenrichtlinien.de
W2K FAQ : http://w2k-faq.ebend.de
PM: ***@Homepage, Versende-Adresse wird nicht abgerufen.
Norbert Fehlauer [MVP]
2005-12-20 22:21:31 UTC
Permalink
Mark Heitbrink [MVP] wrote:
Hi,
Post by Mark Heitbrink [MVP]
Was nur eine Frage des Aufwands ist, bzw. nicht, denn in 95% liegt es
an fehlenden Rechten in %programfiles%\NamederSoftware und/oder
HKLM\Software\NamederSoftware.
Mal davon abgesehen hat die Gruppe in meinen Augen immer noch zuviele
Rechte. ;)
Und wer das offizielle Statement von MS mal lesen mag:
http://support.microsoft.com/default.aspx?scid=kb;en-us;825069
To help prevent this problem, use these methods:
. Do not use the Power Users group.
. Deploy certified Microsoft Windows 2000 or Microsoft Windows Server
2003 programs in your enterprise. Programs that are certified for Windows
2000 or Windows Server 2003 are written to avoid requiring unnecessary
access or administrator-level credentials.


Bye
Norbert
--
Dilbert's words of wisdom #34: When you don't know what to do, walk
fast and look worried.
Nils Kaczenski [MVP]
2005-12-21 09:28:52 UTC
Permalink
Moin,
Post by Norbert Fehlauer [MVP]
Mal davon abgesehen hat die Gruppe in meinen Augen immer noch zuviele
Rechte. ;)
es gibt auch Leute, die sagen, dass eigentlich kein ernsthafter
Unterschied zwischen den PU und den Admins besteht. Vielleicht darf ich
an der Stelle noch mal meine derzeitige Lieblingsquelle zitieren:

http://www.amazon.de/exec/obidos/ASIN/0321336437/qid=1134724334/sr=8-1/ref=sr_8_xs_ap_i1_xgl/303-3563009-0852238


Gruß, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
MVP-Buch gewinnen: http://www.faq-o-matic.net/content/view/195/58/
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
Mark Heitbrink [MVP]
2005-12-21 10:05:13 UTC
Permalink
Moin,
Post by Norbert Fehlauer [MVP]
Deploy certified Microsoft Windows 2000 or Microsoft Windows Server
2003 programs in your enterprise. Programs that are certified for Windows
2000 or Windows Server 2003 are written to avoid requiring unnecessary
access or administrator-level credentials.
Tja, was soll ich sagen? Um eine Zertifizierung für das Programm zu
erlangen, ist leider die "All Users" Funktionalität nur eine Option,
aber keine Pflicht für den Stempel ... hatte ich in diesem Zusammenhang
schon mal den alten (CRM 1.2) Sales for Outlook Client erwähnt? ;-)

Wer sich da mal durchkämpfen möchte:

"Certified for Windows Program"
http://www.microsoft.com/windowsserver2003/partners/isvs/cfw.mspx
dort der Hinweis auf:

"How to Qualify for the Certified for Windows Logo"
http://www.veritest.com/mslogos/cfw/
und da wiedrum:

"Microsoft Platform Test for ISV Solutions Application Test Specification"
http://www.veritest.com/downloads/certification/platform_app_spec.pdf
Seite 11 ff

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server
Homepage: www.gruppenrichtlinien.de
W2K FAQ : http://w2k-faq.ebend.de
PM: ***@Homepage, Versende-Adresse wird nicht abgerufen.
Nils Kaczenski [MVP]
2005-12-21 10:45:54 UTC
Permalink
Moin,
Post by Mark Heitbrink [MVP]
hatte ich in diesem Zusammenhang
schon mal den alten (CRM 1.2) Sales for Outlook Client erwähnt? ;-)
ich meine mich an sowas zu erinnern. ;-)

Wobei Navision 4.0 (aus demselben Haus, aber mit längerer
Entwicklungszeit) ein ähnliches Problem hat, aber da betrifft es nur
eine Nebenfunktion, nicht die gesamte Programmausführung.


Gruß, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
MVP-Buch gewinnen: http://www.faq-o-matic.net/content/view/195/58/
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
Norbert Fehlauer [MVP]
2005-12-21 11:19:07 UTC
Permalink
Mark Heitbrink [MVP] wrote:
Hi,
Post by Mark Heitbrink [MVP]
aber keine Pflicht für den Stempel ... hatte ich in diesem
Zusammenhang schon mal den alten (CRM 1.2) Sales for Outlook Client
erwähnt? ;-)
Nein. Erzähl doch mal. ;)

Bye
Norbert
Winfried Sonntag
2005-12-21 00:12:29 UTC
Permalink
Post by Mark Heitbrink [MVP]
Post by Hugo Biasini
Wenn ich den Ursern die lokalen Hauptbenutzerrechte wegnehme, dann
können gewisse Progs nicht mehr richtig gestartet werden. Jedenfalls
sind das meine Erfahrungen.
Was nur eine Frage des Aufwands ist, bzw. nicht, denn in 95% liegt es
an fehlenden Rechten in %programfiles%\NamederSoftware und/oder
HKLM\Software\NamederSoftware.
Und viele Hersteller gehen diesen Weg leider immer noch, letztes
Beispiel bei mir war NOKIA. Offizielle Anfrage bei Nokia wurde mit den
Worten bestätigt: Die Nokia PC-Suite ist nur mit Administrator Rechten
nutzbar.

Sind die Programmierer wirklich alle so lernresistent?
Post by Mark Heitbrink [MVP]
http://www.gruppenrichtlinien.de/HowTo/MusicMatch_als_Benutzer_ausfuehren.htm
Leider viel zu oft. ;-(

Servus
Winfried
--
Win2000-FAQ: http://w2k-faq.ebend.de
Richtig zitieren: http://einklich.net/usenet/zitier.htm
GPO's: www.gruppenrichtlinien.de
W2K Up2date: http://home.arcor.de/jterlinden/index.htm
Mark Heitbrink [MVP]
2005-12-21 09:53:49 UTC
Permalink
Hi,
Post by Winfried Sonntag
Sind die Programmierer wirklich alle so lernresistent?
Pauschal? Ja.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server
Homepage: www.gruppenrichtlinien.de
W2K FAQ : http://w2k-faq.ebend.de
PM: ***@Homepage, Versende-Adresse wird nicht abgerufen.
Hans-Peter Grözinger
2005-12-21 13:58:39 UTC
Permalink
Hallo Mark !
Post by Mark Heitbrink [MVP]
Post by Winfried Sonntag
Sind die Programmierer wirklich alle so lernresistent?
Pauschal? Ja.
Aber es gibt auch Ausnahmen. :-)

Der TechTalk: Softwareverteilung in Unternehmen mit Daniel
Melanchton sollte einem in dieser Hinsicht doch weiterbringen.
--
Hans-Peter Grözinger
TOFU ist gedankenlose Resourcenverschwendung. Siehe http://got.to/quote
http://support.microsoft.com/default.aspx?scid=fh;DE;NGNetikette
Mark Heitbrink [MVP]
2005-12-21 14:21:53 UTC
Permalink
Hi,
Post by Hans-Peter Grözinger
Aber es gibt auch Ausnahmen. :-)
... sagen wir mal : Kleine Lichtblicke.
Post by Hans-Peter Grözinger
Der TechTalk: Softwareverteilung in Unternehmen mit Daniel
Melanchton sollte einem in dieser Hinsicht doch weiterbringen.
Was hilft es, wenn der nicht gelesen wird?
Daniel ist ja auch kein Entwickler, sondern bevor er zu
evangelisieren angefangen hat war er ein Leidensgenosse ...

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server
Homepage: www.gruppenrichtlinien.de
W2K FAQ : http://w2k-faq.ebend.de
PM: ***@Homepage, Versende-Adresse wird nicht abgerufen.
Hans-Peter Grözinger
2005-12-21 14:31:16 UTC
Permalink
Hallo Mark !
Post by Mark Heitbrink [MVP]
Post by Hans-Peter Grözinger
Der TechTalk: Softwareverteilung in Unternehmen mit Daniel
Melanchton sollte einem in dieser Hinsicht doch weiterbringen.
Was hilft es, wenn der nicht gelesen wird?
Nicht gelesen, sondern beim 4stündigen Vortrag dabei sein (Januar
2006)
Post by Mark Heitbrink [MVP]
Daniel ist ja auch kein Entwickler, sondern bevor er zu
evangelisieren angefangen hat war er ein Leidensgenosse ...
... aber eben aus dieser Sicht kann er die Klippen nennen, die
man umfahren muß und dazu noch die Wege drumrum aufzeigen.

Für eine saubere Lösung gehören immer beide Seiten dazu.
--
Hans-Peter Grözinger
TOFU ist gedankenlose Resourcenverschwendung. Siehe http://got.to/quote
http://support.microsoft.com/default.aspx?scid=fh;DE;NGNetikette
Nils Kaczenski [MVP]
2005-12-21 14:32:21 UTC
Permalink
Moin,
Post by Hans-Peter Grözinger
Der TechTalk: Softwareverteilung in Unternehmen mit Daniel
Melanchton sollte einem in dieser Hinsicht doch weiterbringen.
das Thema ist sehr missverständlich. Es geht dort nicht um
Softwareverteilung allgemein, und es geht auch nicht um die Frage "wie
mache ich Software für Nicht-Admins nutzbar". Es geht vielmehr um
"ClickOnce", was ein sehr spezieller Verteilmechanismus für bestimmte
.NET-basierte Clientapplikationen ist. Dabei muss die Applikation von
vornherein so aufgebaut sein, dass sie das unterstützt.


Gruß, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
MVP-Buch gewinnen: http://www.faq-o-matic.net/content/view/195/58/
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
Hans-Peter Grözinger
2005-12-21 17:13:48 UTC
Permalink
Hallo Nils !
Post by Nils Kaczenski [MVP]
Post by Hans-Peter Grözinger
Der TechTalk: Softwareverteilung in Unternehmen mit Daniel
Melanchton sollte einem in dieser Hinsicht doch weiterbringen.
das Thema ist sehr missverständlich. Es geht dort nicht um
Softwareverteilung allgemein, und es geht auch nicht um die
Frage "wie mache ich Software für Nicht-Admins nutzbar". Es
geht vielmehr um "ClickOnce", was ein sehr spezieller Verteil-
mechanismus für bestimmte ..NET-basierte Clientapplikationen
ist. Dabei muss die Applikation von vornherein so aufgebaut
sein, dass sie das unterstützt.
So wie du es hier erklärst, ist der Vortrag dann noch nicht genau
das, was ich mir darunter vorgestellt hatte. :-(

Als Entwickler von Individual-Software muß der Admin oder wir vor
Ort die Applikation nicht einmalig (bis zum nächsten SP oder Update)
installieren, sondern es findet über einen längeren Zeitraum mehrmals
ein Update der EXE und gegenfalls die Installation von OCX´en bzw.
Kopieren von DLL´s ins Applikationsverzeichnis statt.

In einer anderen XP-Group wurde mir ua. auch von dir und Daniel
empfohlen, einen Service zu installieren, der dann mit Systemrechten
per Taskplaner die Updates durchführt.

Gibt´s da schon fertige Tools, mit denen man sowas durchführen kann?
--
Hans-Peter Grözinger
TOFU ist gedankenlose Resourcenverschwendung. Siehe http://got.to/quote
http://support.microsoft.com/default.aspx?scid=fh;DE;NGNetikette
Nils Kaczenski [MVP]
2005-12-22 09:39:33 UTC
Permalink
Moin,
Post by Hans-Peter Grözinger
Gibt´s da schon fertige Tools, mit denen man sowas durchführen kann?
auf der Kundenseite könnte sowas mit einer Softwareverteilung
abgehandelt werden (z.B. von enteo), die dann auch erhebliche Mehrwerte
bietet.

Von der Entwicklerseite her weiß ich es schlicht nicht.


Gruß, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
MVP-Buch gewinnen: http://www.faq-o-matic.net/content/view/195/58/
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
Winfried Sonntag
2005-12-21 21:33:37 UTC
Permalink
Mark Heitbrink [MVP] schrieb:

Servus,
Post by Mark Heitbrink [MVP]
Post by Winfried Sonntag
Sind die Programmierer wirklich alle so lernresistent?
Pauschal? Ja.
FULL ACK! ;-)

Servus
Winfried
--
W2K-FAQ: http://w2k-faq.ebend.de/
Richtig zitieren: http://einklich.net/usenet/
GPO's: http://www.gruppenrichtlinien.de
W2K Up2date: http://home.arcor.de/jterlinden/index.htm
Loading...