10
Statt Lokale Sicherheitsrichtlinie Registry bearbeiten
Hallo Admins,
ich suche nach einer Möglichkeit folgende Lokale Sicherheitsrichtlinie bzw. GPO via Registry Eintrag für Windows 10 zu setzen:
Die Lokale Sicherheitsrichtlinie "Lokale Richtlinien" -> "Zuweisen von Benutzerrechten" ->
"Auf diesem Computer vom Netzwerk aus zugreifen" -> "Lokale Sicherheitseinstellungen" -> "Jeder" entfernen"
Es verbleiben also: Administratoren, Benutzer und Sicherungs-Operatoren.
Bzw. die GPO "Computerkonfiguration" -> "Richtlinien" -> "Windows Einstellungen" -> "Sicherheitseinstellungen" -> "Lokale Richtlinien" -> "Zuweisen von Benutzerrechten" -> "Auf diesem Computer vom Netzwerk aus zugreifen" -> "Sicherheitsrichtlinie" -> "Benutzer oder Gruppe hinzufügen" -> Administratoren, Benutzer und Sicherungs-Operatoren.
Ich habe per Regshot die Registry vor und nach der Änderung der Lokalen Sicherheitsrichtlinie vergleichen lassen, finde aber auch so nicht den richtigen Eintrag in der Registry
.
Wer kann mir helfen?
Viele Grüße
Potshock
ich suche nach einer Möglichkeit folgende Lokale Sicherheitsrichtlinie bzw. GPO via Registry Eintrag für Windows 10 zu setzen:
Die Lokale Sicherheitsrichtlinie "Lokale Richtlinien" -> "Zuweisen von Benutzerrechten" ->
"Auf diesem Computer vom Netzwerk aus zugreifen" -> "Lokale Sicherheitseinstellungen" -> "Jeder" entfernen"
Es verbleiben also: Administratoren, Benutzer und Sicherungs-Operatoren.
Bzw. die GPO "Computerkonfiguration" -> "Richtlinien" -> "Windows Einstellungen" -> "Sicherheitseinstellungen" -> "Lokale Richtlinien" -> "Zuweisen von Benutzerrechten" -> "Auf diesem Computer vom Netzwerk aus zugreifen" -> "Sicherheitsrichtlinie" -> "Benutzer oder Gruppe hinzufügen" -> Administratoren, Benutzer und Sicherungs-Operatoren.
Ich habe per Regshot die Registry vor und nach der Änderung der Lokalen Sicherheitsrichtlinie vergleichen lassen, finde aber auch so nicht den richtigen Eintrag in der Registry
.Wer kann mir helfen?
Viele Grüße
Potshock
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 643456
Url: https://administrator.de/contentid/643456
Printed on: April 19, 2024 at 17:04 o'clock
10 Comments
Latest comment
Hi,
welche Registrywerte das sind, kannst Du selbst aus der betreffenden ADMX extrahieren.
Suche einfach in den deutschen ADML nach dem String "Auf diesem Computer vom Netzwerk aus zugreifen". Dann weißt Du schon mal, welche ADMX das ist. Dann in der ADMX nach der Variable suchen, welcher in der ADML der o.g. String zugewiesen ist. In der ADMX findest Du dann die Registrywerte.
Weiterhin werden in der Registry dann nicht die Namen auftauchen sondern die SID's der betreffenden Konten oder Gruppen.
E.
welche Registrywerte das sind, kannst Du selbst aus der betreffenden ADMX extrahieren.
Suche einfach in den deutschen ADML nach dem String "Auf diesem Computer vom Netzwerk aus zugreifen". Dann weißt Du schon mal, welche ADMX das ist. Dann in der ADMX nach der Variable suchen, welcher in der ADML der o.g. String zugewiesen ist. In der ADMX findest Du dann die Registrywerte.
Weiterhin werden in der Registry dann nicht die Namen auftauchen sondern die SID's der betreffenden Konten oder Gruppen.
E.
Hi Emeriks,
also ich habe mir den kompletten Ordner PolicyDefinitions auf meinen lokalen Linux PC kopiert.
Dort via grep in de-DE die adml Dateien nach dem String "Auf diesem Computer vom Netzwerk aus zugreifen" durchsucht.
Der String ist nicht zu finden!
Um sicher zu stellen, daß mein grep Befehl funktioniert habe ich exemplarisch nach "Antivirenprogramme beim Öffnen von Anlagen benachrichtigen" gesucht.
Und siehe da die adml wird gefunden und ich kann dann natürlich die entsprechende admx Datei zuordnen.
Kann es sein, daß die Windows-Einstellungen sich gar nicht in den adml/admx Dateien befinden, sondern sich dort nur die Administrativen Vorlagen befinden?
Die dort definierten Einstellungen finde ich nämlich (s.o.)!
Viele Grüße und ein schönes Wochenende
Potshock
also ich habe mir den kompletten Ordner PolicyDefinitions auf meinen lokalen Linux PC kopiert.
Dort via grep in de-DE die adml Dateien nach dem String "Auf diesem Computer vom Netzwerk aus zugreifen" durchsucht.
grep -rwi '/Pfad/PolicyDefinitions/de-DE/' -e 'Auf diesem Computer vom Netzwerk aus zugreifen' Der String ist nicht zu finden!
Um sicher zu stellen, daß mein grep Befehl funktioniert habe ich exemplarisch nach "Antivirenprogramme beim Öffnen von Anlagen benachrichtigen" gesucht.
Und siehe da die adml wird gefunden und ich kann dann natürlich die entsprechende admx Datei zuordnen.
Kann es sein, daß die Windows-Einstellungen sich gar nicht in den adml/admx Dateien befinden, sondern sich dort nur die Administrativen Vorlagen befinden?
Die dort definierten Einstellungen finde ich nämlich (s.o.)!
Viele Grüße und ein schönes Wochenende
Potshock
Hi.
Es ist dokumentiert, dass die meisten (nicht alle) Sicherheitspolicysettings keine Registryeinträge sind (siehe GPO Reference: https://www.microsoft.com/en-us/download/101451 )
Es ist dokumentiert, dass die meisten (nicht alle) Sicherheitspolicysettings keine Registryeinträge sind (siehe GPO Reference: https://www.microsoft.com/en-us/download/101451 )
Hallo DerWoWusste,
danke für den Hinweis.
Ich bin wohl wieder etwas blind
.
Wo ist "dokumentiert, dass die meisten (nicht alle) Sicherheitspolicysettings keine Registryeinträge sind"?
Ich finde dort nur den Hinweis, daß der dort angebotene Download "Group Policy Settings Reference Spreadsheet" sich nur auf die "Administrative template files " bezieht.
Das schließt natürlich die "Windows-Einstellungen" aus.
Deswegen war ich der Ansicht, wenn ich den kompletten Ordner PolicyDefinitions direkt aus unsere Domäne durchsuche, ich dort fündig werden würde.
Wie / Wo speichert Windows dann diese Einstellungen, wenn nicht in der Registry?
Ok, wenn diese GPO keine Registry Einträge erstellt, welche Möglichkeiten gibt es, um die Einstellungen dieser GPO an Clients ohne AD Anbindung zu verteilen?
Wäre ev. ein gangbarer Weg, ich würde die GPO sichern und sie dann via ImportGPO.wsf (siehe: https://gallery.technet.microsoft.com/group-policy-management-17a5f840) per script importieren?
Edith: Noch mal nachgedacht, ist natürlich Schwachsinn eine GPO kann ich ja nur am Server importieren und nicht an Clients, welche nicht im Ad sind!
Kann man lokale Sicherheitsrichtlinen exportieren und importieren?
Edith2: ja man kann wohl lokale Sicherheitsrichtlinen exportieren und importieren.
https://www.der-windows-papst.de/2017/08/13/windows-lokale-richtlinien-u ...
Das teste ich jetzt mal!
Grüße
Potshock
danke für den Hinweis.
Ich bin wohl wieder etwas blind
.Wo ist "dokumentiert, dass die meisten (nicht alle) Sicherheitspolicysettings keine Registryeinträge sind"?
Ich finde dort nur den Hinweis, daß der dort angebotene Download "Group Policy Settings Reference Spreadsheet" sich nur auf die "Administrative template files " bezieht.
Das schließt natürlich die "Windows-Einstellungen" aus.
Deswegen war ich der Ansicht, wenn ich den kompletten Ordner PolicyDefinitions direkt aus unsere Domäne durchsuche, ich dort fündig werden würde.
Wie / Wo speichert Windows dann diese Einstellungen, wenn nicht in der Registry?
Ok, wenn diese GPO keine Registry Einträge erstellt, welche Möglichkeiten gibt es, um die Einstellungen dieser GPO an Clients ohne AD Anbindung zu verteilen?
Wäre ev. ein gangbarer Weg, ich würde die GPO sichern und sie dann via ImportGPO.wsf (siehe: https://gallery.technet.microsoft.com/group-policy-management-17a5f840) per script importieren?
Edith: Noch mal nachgedacht, ist natürlich Schwachsinn eine GPO kann ich ja nur am Server importieren und nicht an Clients, welche nicht im Ad sind!
Kann man lokale Sicherheitsrichtlinen exportieren und importieren?
Edith2: ja man kann wohl lokale Sicherheitsrichtlinen exportieren und importieren.
https://www.der-windows-papst.de/2017/08/13/windows-lokale-richtlinien-u ...
Das teste ich jetzt mal!
Grüße
Potshock
Hi emeriks, hi DerWoWusste,
ich habe die Lokale Sicherheitsrichtlinien via Powershell und LGPO.exe (Bestandteil des Microsoft Security Compliance Toolkit 1.0 https://www.microsoft.com/en-us/download/details.aspx?id=55319) ex- und importiert.
Export: C:\Users\admin\Downloads\LGPO\LGPO_30\LGPO.exe /b C:\Users\admin\Desktop\GPOs
Import: C:\Users\admin\Downloads\LGPO\LGPO_30\LGPO.exe /g C:\Users\admin\Desktop\GPOs
Funktioniert, allerdings mit einem kleinen Schönheitsfehler: Es werden alle Lokale Sicherheitsrichtlinien exportiert.
Habt Ihr schon einmal mit dem Tool gearbeitet und könnt mir sagen, ob ich damit auch nur eine ganz bestimmte Lokale Sicherheitsrichtlinie exportieren kann?
Viele Grüße
Potshock
ich habe die Lokale Sicherheitsrichtlinien via Powershell und LGPO.exe (Bestandteil des Microsoft Security Compliance Toolkit 1.0 https://www.microsoft.com/en-us/download/details.aspx?id=55319) ex- und importiert.
Export: C:\Users\admin\Downloads\LGPO\LGPO_30\LGPO.exe /b C:\Users\admin\Desktop\GPOs
Import: C:\Users\admin\Downloads\LGPO\LGPO_30\LGPO.exe /g C:\Users\admin\Desktop\GPOs
Funktioniert, allerdings mit einem kleinen Schönheitsfehler: Es werden alle Lokale Sicherheitsrichtlinien exportiert.
Habt Ihr schon einmal mit dem Tool gearbeitet und könnt mir sagen, ob ich damit auch nur eine ganz bestimmte Lokale Sicherheitsrichtlinie exportieren kann?
Viele Grüße
Potshock
Die POL-Dateien, welches dieses Tool erstellt, kannst Du mit PolViewer o.ä. untersuchen. Damit solltest Du die Registry-Einträge sehen, welche darin gespeichert sind. Vielleicht kommst Du damit weiter.
Schau mal hier: Da wird ein Tool genannt.
https://social.technet.microsoft.com/Forums/WINDOWS/en-US/45ded677-4ad5- ...
Edit:
Oder
https://sdmsoftware.com/389932-gpo-freeware-downloads/registry-pol-viewe ...
Schau mal hier: Da wird ein Tool genannt.
https://social.technet.microsoft.com/Forums/WINDOWS/en-US/45ded677-4ad5- ...
Edit:
Oder
https://sdmsoftware.com/389932-gpo-freeware-downloads/registry-pol-viewe ...
Also... es ist nicht so schwierig.
Ich nehme meinen Rechner, berechtige dort "admin" in "Lokale Richtlinien" -> "Zuweisen von Benutzerrechten" ->
"Auf diesem Computer vom Netzwerk aus zugreifen" und nutze danach wie du LGPO.exe für ein Backup. Das sehe ich mir an und, wie angesagt: kein Registrywert. Die Einstellung ist zu finden unter
"D:\tools\LGPO_30\backup\{879CAFC4-769D-43E6-82CC-7B933AD470CF}\DomainSysvol\GPO\Machine\microsoft\windows nt\SecEdit\GptTmpl.inf"
Diese Datei editiere ich nun so, dass nur noch dieses Privileg drin steht:
Alle anderen Dateien außer dieser lösche ich einfach, kopiere den Kram auf meine zweite Testmaschine und importiere und es läuft:
Ich nehme meinen Rechner, berechtige dort "admin" in "Lokale Richtlinien" -> "Zuweisen von Benutzerrechten" ->
"Auf diesem Computer vom Netzwerk aus zugreifen" und nutze danach wie du LGPO.exe für ein Backup. Das sehe ich mir an und, wie angesagt: kein Registrywert. Die Einstellung ist zu finden unter
"D:\tools\LGPO_30\backup\{879CAFC4-769D-43E6-82CC-7B933AD470CF}\DomainSysvol\GPO\Machine\microsoft\windows nt\SecEdit\GptTmpl.inf"
Diese Datei editiere ich nun so, dass nur noch dieses Privileg drin steht:
[Unicode]
Unicode=yes
[System Access]
[Event Audit]
[Registry Values]
[Privilege Rights]
SeNetworkLogonRight = *S-1-1-0,admin,*S-1-5-32-544,*S-1-5-32-545,*S-1-5-32-551
[Version]
signature="$CHICAGO$"
Revision=1
Hi DerWoWusste, hi emeriks
ja super, das ist die Lösung
.
"Also... es ist nicht so schwierig."
Also ohne Deine Hilfe, das selbst einmal nachzustellen, hätte ich das nie hingekriegt, aller besten Dank!
Besten Dank auch an emeriks für Deine/Eure Unterstützung
Potshock
ja super, das ist die Lösung
."Also... es ist nicht so schwierig."
Also ohne Deine Hilfe, das selbst einmal nachzustellen, hätte ich das nie hingekriegt, aller besten Dank!
Besten Dank auch an emeriks für Deine/Eure Unterstützung
Potshock
Fein, gern geschehen.
Abschließend noch zu Deinem "Wo ist "dokumentiert, dass die meisten (nicht alle) Sicherheitspolicysettings keine Registryeinträge sind"?"
(findet sich im verlinkten Excelsheet auf dem Reiter "Security")
Abschließend noch zu Deinem "Wo ist "dokumentiert, dass die meisten (nicht alle) Sicherheitspolicysettings keine Registryeinträge sind"?"
Hi DerWoWusste,
danke noch einmal für die Info!
Schönen Feierabend
Potshock
danke noch einmal für die Info!
Schönen Feierabend
Potshock
