Hallo liebe Forengemeinde, mir bereiten die Gruppenrichtlinien unter Windows 7 Pro Kopfzerbrechen. Genau gesagt, geht es um die Möglichkeit, dass alle Nutzer die Systemzeit auch per CMD ändern können sollen. Dazu habe ich bei dem Gruppenrichtlinien "Ändern der Systemzeit" & "Ändern der Zeitzone" zu den bereits standardmäßigen Einträgen die Gruppe "Users" hinzugefügt. Auf dem betroffenen Rechner gibt es zwei Benutzerkonten, einen Standardbenutzer und einen (normalen) Administrator. Das vorkonfigurierte Administrator-Konto ist deaktiviert. Nach dem ändern der Gruppenrichtlinie ist es möglich mittels CMD die Uhrzeit und das Datum zu ändern, zumindest mit dem Standardbenutzer. Überraschenderweise gelingt mir dies mit dem Administrator nicht, ich erhalte die Meldung, dass mir ein Privileg für den Vorgang fehlen würde. Auch den Benutzer direkt in der Gruppenrichtlinie einzutragen und so das Ändern der Zeit zu genehmigen brachte leider keinen Erfolg. Anscheinend wird die Gruppe "Administratoren" und alle Nutzer die dieser angehören ab Windows 7 (getestet auf Win 7 Pro & Win8.1 Pro) nicht berücksichtigt. das es sich um ein Phänomen einer bestimmten Rechnerkonfiguration handeln könnte, habe ich bereits ausschließen können, da ich auf mehrere Systemen diesen Test durchgeführt habe. Auch auf einem XP-Rechner habe ich das selbe Vorgehen getestet. Hier klappt alles wie erwartet. Langsam gehen mir die Ideen aus, worin der Fehler liegen könnte. Gruß M. Grünke
Wie werden die GPOs verteilt? Sind die Rechner in einem AD? Ist der Admin ein lokaler oder einen Domäenenaccount? Mit... "gpresult /R" ..kannst du prüfen, welche Richtlinien überhaupt ziehen.
Der Rechner befindet sich in keiner Domäne bzw AD. Aus diesem Grund sind auch alle Accounts lokal. Den Befehl "gpresult /r" habe ich ausgeführt, aus dem Ergebnis leider nicht schlau geworden. Sollten die angewendeten Richtlinien im Klartext aufgeführt sein, oder woran kann ich erkenne, welche Richtlinien aktiv sind?
> Auf dem betroffenen Rechner gibt es zwei Benutzerkonten, einen > Standardbenutzer und einen (normalen) Administrator. Leg einen neuen User an und prüfe dort. Es gibt Fälle wo Sachen erst späääter wirken.
irgend was stimmt da nicht. Wenn der neue Admin in der Gruppe Administratoren ist dann kann er auch die Zeit ändern. Dafür muss man nichts am System ändern.
@Peter II evtl kommt ihm da die UAC quer - in einer CMD darf auch ein Admin nicht alles wenn die CMD nicht explizit "als Administrator ausgeführt" wird. route add ... /p zeigt zB dasselbe Verhalten...
Ich habe, wie ich schon erwähnte auf mehreren unterschiedlichen Systemen versucht als Administrator die Zeit zu ändern, leider auf allen erfolglos... Auch das anlegen eines neuen Benutzers mit Administratorrechten führt zum selben Fehler.
kannst du die Zeit über die Taskleiste (rechts unten) ändern? oder geht es nur über die cmd nicht?
@ Andy D Daran sollte es auch nicht liegen, da ich als Standardbenutzer keine Probleme habe die Zeit über eine einfache CMD (ohne erweiterte Rechte) zu ändern.
per Taskleiste ist das Ändern der Zeit kein Problem. Leider benötige ich jedoch die Änderung per CMD
Marco G. schrieb: > per Taskleiste ist das Ändern der Zeit kein Problem. Leider benötige ich > jedoch die Änderung per CMD dann ist es wirklich die UAC. Es müsste gehen wenn du das Cmd als Admin ausführst.
Schau mal in die Verwaltung ob Dein "Admin" überhaupt echt Admin ist. Evtl. hat der auch eine Richtline bekommen? Evtl. ist die Zeit über NTP schon wieder aktualisiert worden?
Marco G. schrieb: > Den Befehl "gpresult /r" habe ich ausgeführt, aus dem Ergebnis leider > nicht schlau geworden. Macht nix, wenn der PC keiner Domäne angehört, werden eh nur die lokalen Richtlinien angewendet. Andy D. schrieb: > @Peter II evtl kommt ihm da die UAC quer - in einer CMD darf auch ein > Admin nicht alles wenn die CMD nicht explizit "als Administrator > ausgeführt" wird. Das IST die Ursache. Eben nachvollzogen, als Admin angemeldet, muß die CMD explizit mit Adminrechten gestartet werden, damit die Zeit geändert werden kann. Warum auch immer, ist dies bei einem eingeschränkten User NICHT erforderlich, wenn die entsprechenden Richtlinien gesetzt sind.
Genau. Normale Benutzer dürfen durch die GPO-Änderung die Zeit einfach so ändern und benötigen dafür keine Admin-Rechte. Folglich kommt auch kein UAC-Dialog. Mitglieder der Administratoren-Gruppe nutzen ihre Admin-Rechte, um die Zit zu ändern. Die Nutzung der Admin-Rechte muss man durch den UAC-Dialog frei geben. Im Fall von cmd muss man dazu cmd als Admin starten. Dazu drückt man die Windows-Taste, gibt cmd ein, drückt STRG+SHIFT gleichzeitig und bestätigt mit Enter. Dann nickt man den UAC-Dialog ab und hat eine cmd mit Admin-Rechten. Kommt beim Aufruf von cmd nicht die UAC-Abfrage, hat man darin auch keine Admin-Rechte. Gruß, chris
@Peter II als Standard Benutzer kann ich sehr wohl per cmd die zeit ändern; auch ohne erweiterte Rechte für die cmd zu vergeben. Leider ist es nicht möglich, die CMD als admin auszuführen. @ oszi40 Die automatische Aktualisierung der Systemzeit ist auch per GPO unterbunden. Die Benutzer, die Probleme bereiten gehören zur Gruppe der Administratoren, es handelt sich quasi um den bei der Ersteinrichtung erstellten Account. @Icke jaja Microsoft eben, völlig sinnfreie Aktionen...
Marco G. schrieb: > jaja Microsoft eben, völlig sinnfreie Aktionen... also wer die System zeit ändern will, der muss sich nicht über MS aufregen. Und wenn es dir nicht passt, dann schalte UAC ab.
@Chris Das weiß ich soweit, es hilft mir leider nicht weiter, da ich die CMD nicht benutzen werde, sondern ein Programm, welches auf die CMD-Funktionen zugreift. Dieses als Administrator ausführen wird aber auch schwierig, da andere Funktionen des Programms dann nicht funktionieren. @all Wenn ich das Programm per runas aufrufe und die Anmeldeinformationen mit /savecred speichere, ob diese Verknüpfung eine Generalisierung per Sysprep überleben würde? Wahrscheinlich nicht, oder?
Marco G. schrieb: > Dieses als Administrator ausführen wird aber > auch schwierig, da andere Funktionen des Programms dann nicht > funktionieren. warum sollte Programm nicht funktionieren wenn es mehr rechte hat? Könntest du eventuell das Problem mal genau beschreiben was du hast, denn das klingt alles nach Krücke.
Das Programm greift auf andere Programme /Umgebungen zu; diese stürzen allerdings seltsamerweise ab, wenn auf sie mit einem Programm zugegriffen wird, welches Admin-Rechte hat. Ein bisschen ist es eine Krücke, allerdings wird das Programm meist nur als Standardbenutzer ausgeführt und in Ausnahmefällen auf dem Admin-Konto, also wäre es akzeptabel.
Marco G. schrieb: > jaja Microsoft eben, völlig sinnfreie Aktionen... Völlig sinnfrei würde ich nicht sagen. Eher ein nicht berücksichtigter Spezialfall. Ich vermute, daß die Reihenfolge, in der die Gruppenzugehörigkeit abgefragt wird, hier eine Rolle spielt. Wenn das System zuerst prüft, ob der User Adminrechte besitzt und dies der Fall ist, wird es die Zuständigkeit sofort an die UAC übergeben, sodaß die durch GPO festgelegten Rechte für die Gruppe "Benutzer", welcher der Admin ebenfalls angehört, nicht mehr zum Tragen kommen. Abhilfe wird nur durch Deaktivieren der UAC möglich sein. Warum müßt ihr die Zeit überhaupt per Batch ändern? Mir fällt da spontan nur das Umgehen abgelaufener Testlizenzen ein...
Nicht direkt per Batch. Es werden nur die selben Tools in einem Programm aufgerufen, welche auch in der CMD verwendet werden. Der Hintergrund ist, das dadurch eine Art Zeitsynchro entsteht, die mit einem externen System (kein Windows) kommuniziert. Um die Zeiten auf beiden System gleich zu halten wird die Zeit aus dem exterenen System auf den Win-PC übertragen. Also keine umgehen von Lizenzzeiträumen. Wir wollen schon im hier und jetzt arbeiten und nicht in der Vergangenheit leben;)
Marco G. schrieb: > Um die Zeiten auf > beiden System gleich zu halten wird die Zeit aus dem exterenen System > auf den Win-PC übertragen. Und beide Systeme per NTP auf Atomzeit genau zu synchronisieren, ist keine Option?
Leider nicht, da das externe System nie im Internet ist und selbst der Windows-Rechner nicht immer mit dem Internet verbunden ist. Das ist von Kunde zu Kunde unterschiedlich.
Dann gibt es noch die Möglichkeit interner Referenzzeitquellen, die sich entweder per NTP oder DCF77 syncen.
Icke ®. schrieb: > entweder per NTP oder DCF77 syncen. Grund wird sein, daß der TS vom Image installiert und dann eine falsche Zeit hat? Auge zu Wiki NTP.
Die Zeit an sich stimmt beim Image, nur sollen sich beide Systeme nach Möglichkeit nicht um +- 60s unterscheiden. Diese leichten Abweichungen können immer mal sein, wenn nicht extern die Zeit sychronisiert wird (über einen NTP-Server)
Marco G. schrieb: > Leider nicht, da das externe System nie im Internet ist und selbst der > Windows-Rechner nicht immer mit dem Internet verbunden ist. Trotzdem, ich finde da ist die Hierarchie auf den Kopf gestellt. Ich würde die Zeit immer so verteilen: NTP oder DCF77 -> mein Domänencontroller -> Steuer-PC -> externes System Georg
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.