Discussion:
Zugriff auf registry
(zu alt für eine Antwort)
Andre Victor
2007-04-17 13:23:51 UTC
Permalink
Hallo,

habe kürzlich auf 2 unserer Server versuchsweise SP2 für W2K3
installiert.

Möchte ich nun mittels regedit bzw. regedt32 als Domänen-Administrator
auf die registry zugreifen erscheint die Meldung: Das Bearbeiten der
Registrierung wurde durch den Administrator deaktiviert.

Davon wüsste ich was...

Die restlichen W2K3-Server (mit SP1) lassen das Öffnen übrigends
problemlos zu.

Kann es sein, dass Microsoft da eine Standardeinstellung verschärft
hat?

Gruss André
Andre Victor
2007-04-17 13:27:02 UTC
Permalink
Post by Andre Victor
Hallo,
habe kürzlich auf 2 unserer Server versuchsweise SP2 für W2K3
installiert.
Möchte ich nun mittels regedit bzw. regedt32 als Domänen-Administrator
auf die registry zugreifen erscheint die Meldung: Das Bearbeiten der
Registrierung wurde durch den Administrator deaktiviert.
Davon wüsste ich was...
Die restlichen W2K3-Server (mit SP1) lassen das Öffnen übrigends
problemlos zu.
Kann es sein, dass Microsoft da eine Standardeinstellung verschärft
hat?
Gruss André
Nochwas: als lokaler Administrator über runas kann ich die registry
öffnen. Ist aber irgendwie unbefriedigend auf Dauer...
Norbert Fehlauer [MVP]
2007-04-17 13:39:34 UTC
Permalink
Andre Victor wrote:
Hi,
Post by Andre Victor
habe kürzlich auf 2 unserer Server versuchsweise SP2 für W2K3
installiert.
Dann bist du hier in der NG falsch. ;)
Post by Andre Victor
Möchte ich nun mittels regedit bzw. regedt32 als Domänen-Administrator
auf die registry zugreifen erscheint die Meldung: Das Bearbeiten der
Registrierung wurde durch den Administrator deaktiviert.
Das geht hier ohne Probleme. Kannst du mal ein rsop auf den betroffenen
Rechnern fahren?
Post by Andre Victor
Kann es sein, dass Microsoft da eine Standardeinstellung verschärft
hat?
Möglich, aber ich kann dieses Verhalten hier nicht reproduzieren.

Bye
Norbert
Andre Victor
2007-04-17 13:55:07 UTC
Permalink
Post by Norbert Fehlauer [MVP]
Dann bist du hier in der NG falsch. ;)
Stimmt, aber hier lesen ja auch fähige Leute mit ;) Wo sind denn die
W2K3-Foren von MS? Hab ich eben leider nicht gefunden.
Post by Norbert Fehlauer [MVP]
Das geht hier ohne Probleme. Kannst du mal ein rsop auf den betroffenen
Rechnern fahren?
rsop erstellt. Keine Auffälligkeiten. Eigentlich müsste da ja was
unter Benutzerkonfiguration->System->Zugriff auf Programme zum
Bearbeiten der Registrierung verhindern konfiguriert sein. Ist aber
nicht. Oder muss ich evtl. seid SP2 das explizit freigeben. Das
versuch ich jetzt mal.

André
Andre Victor
2007-04-17 14:02:34 UTC
Permalink
Hi,
Post by Andre Victor
rsop erstellt. Keine Auffälligkeiten. Eigentlich müsste da ja was
unter Benutzerkonfiguration->System->Zugriff auf Programme zum
Bearbeiten der Registrierung verhindern konfiguriert sein. Ist aber
nicht. Oder muss ich evtl. seid SP2 das explizit freigeben. Das
versuch ich jetzt mal.
Das wars. Man muss also scheinbar seid SP2 für Domänen-Admins (oder
wem auch immer man möchte) unter "Benutzerkonfiguration->System-
Post by Andre Victor
Zugriff auf Programme zum Bearbeiten der Registrierung verhindern"
explizit auf "Deaktivieren" einstellen. Merkwürdig.

Kannst du das nachvollziehen?

André
Mark Heitbrink [MVP]
2007-04-17 14:10:21 UTC
Permalink
Hi,
Post by Andre Victor
Das wars. Man muss also scheinbar seid SP2 für Domänen-Admins (oder
wem auch immer man möchte) unter "Benutzerkonfiguration->System-
Post by Andre Victor
Zugriff auf Programme zum Bearbeiten der Registrierung verhindern"
explizit auf "Deaktivieren" einstellen. Merkwürdig.
Kannst du das nachvollziehen?
Ist nicht normal, wenn es nicht von einer darüberliegenden GPO so bestimmt
wurde. Die einzigen "automatischen" Vorgänge die zu diesem Eintrag oder
Verhalten führen sind oftmals Viren. Denn diese möchten verhindern, daß
der Admin sie aus den RUN Keys der Registry entfernt und was ist dann
leichter, als das Editieren der Reg zu verbieten? ;-)

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english
Andre Victor
2007-04-17 14:30:05 UTC
Permalink
On 17 Apr., 16:10, "Mark Heitbrink [MVP]" <spam-
Post by Mark Heitbrink [MVP]
Ist nicht normal, wenn es nicht von einer darüberliegenden GPO so bestimmt
wurde. Die einzigen "automatischen" Vorgänge die zu diesem Eintrag oder
Verhalten führen sind oftmals Viren. Denn diese möchten verhindern, daß
der Admin sie aus den RUN Keys der Registry entfernt und was ist dann
leichter, als das Editieren der Reg zu verbieten? ;-)
Viren kann ich ausschliessen. Habe das gerade nochmal mit TrendMicro
gegengeprüft.

Ausserdem wurde der Server bzw. auch noch ein zweiter erst letzte
Woche komplett neu identisch installiert.

Muss ich nicht verstehen (würde ich aber gerne...)

André
Norbert Fehlauer [MVP]
2007-04-17 14:48:32 UTC
Permalink
Andre Victor wrote:
Hi,
Post by Andre Victor
Post by Andre Victor
nicht. Oder muss ich evtl. seid SP2 das explizit freigeben. Das
versuch ich jetzt mal.
Das wars. Man muss also scheinbar seid SP2 für Domänen-Admins (oder
wem auch immer man möchte) unter "Benutzerkonfiguration->System-
Post by Andre Victor
Zugriff auf Programme zum Bearbeiten der Registrierung verhindern"
explizit auf "Deaktivieren" einstellen. Merkwürdig.
Nö muß man nicht. Sondern mußt du. ;) Aber da das ja eine Policy ist, kannst
du das jetzt wieder auf "Nicht konfiguriert stellen" und es muß trotzdem
noch funktionieren.
Post by Andre Victor
Kannst du das nachvollziehen?
Nö, ausser du hast bei der Installation deiner Server irgendwas verwendet,
was diese Einstellung vornimmt.

Bye
Norbert
Andre Victor
2007-04-18 06:37:18 UTC
Permalink
Post by Norbert Fehlauer [MVP]
Nö muß man nicht. Sondern mußt du. ;) Aber da das ja eine Policy ist, kannst
du das jetzt wieder auf "Nicht konfiguriert stellen" und es muß trotzdem
noch funktionieren.
Hast recht. Der Zugriff bleibt erhalten.
Post by Norbert Fehlauer [MVP]
Nö, ausser du hast bei der Installation deiner Server irgendwas verwendet,
was diese Einstellung vornimmt.
Na ja, da wurden eine ganze Menge an Anwendungen installiert, evtl.
hat eine von denen das beeinflusst.

Danke für eure Hilfe!

Gruss André

Loading...