Aktuelles

Admin Account ohne richtige Admin Perms?

ralle_h

Moderator
Hardwareluxx Team
Thread Starter
Mitglied seit
11.03.2007
Beiträge
23.792
Ort
München
Moin moin,

ein Kollege und ich haben für ein privates Projekt einen Rootserver mit Windows Server 2019 bei OVH gemietet. Im OVH Panel erhält man nach Installation des vorgefertigten Windows Images eine Mail mit den Zugangsdaten für den Benutzer "admin", der auch Administrator ist - aber eben nicht für den originäre "Administrator" Account von Windows selbst. Bei diversen OVH VPS, die ich bereits in Vergangenheit hatte, erhält man komischerweise immer das Passwort für den richtigen Administrator Account.

Soweit so gut, eigentlich ja kein Problem sollte man meinen... wenn da nicht diverse Einschränkungen wären:

ovh_bug.JPG


Zum einen lässt sich die Zeitzone nicht ändern, trotz Admin Rechten des Accounts:

1628282115178.png

UAC habe ich schon deaktiviert, trotzdem muss ich CMD immer als Administrator starten um Zugriff auf netsh Befehle zu haben usw... richtig nervig.

Der OVH Support versteh scheinbar nicht wo mein Problem ist bzw. will mir nicht weiterhelfen.

Hat jemand eine Idee was ich machen könnte bzw. wo das Problem liegt? Außer ein eigenes Windows Image für die Installation zu nehmen, was super unentspannt wäre, fällt mir auf die Schnelle nichts ein.

Viele Grüße,
Ralle
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.

scars

Urgestein
Mitglied seit
19.01.2006
Beiträge
1.988
Ort
Heilbronn
Vermute dass eine GPO es verhindert, dann hilft auch Admin sein nichts…

Öffne mal gpedit.msc:

Computerkonfigurationen\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten

Dort müssts irgendwas mit Zeitzone ändern geben…
 

ralle_h

Moderator
Hardwareluxx Team
Thread Starter
Mitglied seit
11.03.2007
Beiträge
23.792
Ort
München
Ich konnte es jetzt dank eines Tipps von einem Kollegen wie folgt lösen:

Local Policies -> User Rights Assignment -> Change the time zone

Dort musste ich interessanterweise der Gruppe "user" die Rechte zum Ändern geben, dann klappt es. Was zwar eines der Probleme löst, allerdings weiterhin die Frage offen lässt was für ein komisches Standing der "admin" Account denn nun hat. Scheinbar hat er Administrator Rechte, ist aber kein Teil der Gruppe Administratoren? Denn diese hatte ab Installation Zugriff auf "Change the time zone" ^^

/edit: Das scheint es auch nicht zu sein :fresse2:

1628289379018.png

Eventuell so einfach das PW des Administrator Accounts ändern und mich nicht mehr darüber ärgern? ^^
 
Zuletzt bearbeitet:

passat3233

Enthusiast
Mitglied seit
01.05.2007
Beiträge
3.442
Afaik seit Windows Vista hat ein Adminaccount auch, wenn er in der Gruppe der Administratoren ist, nicht die vollen Rechte.
 

ralle_h

Moderator
Hardwareluxx Team
Thread Starter
Mitglied seit
11.03.2007
Beiträge
23.792
Ort
München
So, hatte die Nase voll, hab mir nun den Administrator geholt und den admin Account gelöscht. Sehr merkwürdig alles, aber somit gibt es keine Probleme mehr und alles ist wie gewohnt ^^
 

scars

Urgestein
Mitglied seit
19.01.2006
Beiträge
1.988
Ort
Heilbronn
Ein Administrator in einer Standard Installation hat immer die vollen Rechte über eine Maschine, allerdings kann man ihm dank GPOs/Registry auch Bereiche vorenthalten...

Wenn ein User ein Problem hat und ich sende einen Support MA raus, braucht der natürlich Administrationsrechte auf dem Client - dass heißt aber noch lange nicht, dass er alles ändern darf....

Und solche Schutzmaßnahmen führen dann zu dem hier beschriebenen Verhalten, man kann sich da auch so richtig schöne Eier legen... ;)
 

kaiser

Legende
Mitglied seit
17.05.2003
Beiträge
13.816
Ort
Augsburg
Und Uhrzeit zu sperren kann schon wichtig sein. Wenn es nur ein Vserver ist
 

ralle_h

Moderator
Hardwareluxx Team
Thread Starter
Mitglied seit
11.03.2007
Beiträge
23.792
Ort
München
Nee, es ist genau andersrum. War ein Rootserver und das Image kann von OVH.

Auf VPS Server hat man direkt den User "Administrator" - auf Roots den besagten User "admin". Sie trauen also wohl VPS Käufern mehr zu als Root Käufern 🤔
 

scars

Urgestein
Mitglied seit
19.01.2006
Beiträge
1.988
Ort
Heilbronn
Eigentlich verständlich, mit dem Dedicated Server bist du nativ auf dem Blech bzw. am Netz, da ists Sinnvoll mal direkt ein paar Sachen in Windows zu reglementieren…

Bei einem VServer hast du den Host mit virtuellem Switch davor, da kannst den schon deutlich einfacher abriegeln…
 

ralle_h

Moderator
Hardwareluxx Team
Thread Starter
Mitglied seit
11.03.2007
Beiträge
23.792
Ort
München
Ja, so gesehen macht das schon Sinn, das stimmt. Ich ging jetzt einfach davon aus, dass Leute, die sich (die deutlich teureren) Rootserver kaufen, i.d.R. auch etwas bewandertet sind... aber das sieht in der gängigen Praxis vermutlich auch wieder anders aus ^^
 

passat3233

Enthusiast
Mitglied seit
01.05.2007
Beiträge
3.442
Ein Administrator in einer Standard Installation hat immer die vollen Rechte über eine Maschine,
Nein, hat er nicht.
Es gibt genug Dinge, auf die ein Admin keine Rechte hat und sich auch keine Rechte verschaffen kann.
Auch auf Einzelplatz-Standardinstallationen.
Nicht ohne Grund gibt es z.B. das Tool "psexec", mit dem man Sachen mit Systemrechten ausführen kann.
 

scars

Urgestein
Mitglied seit
19.01.2006
Beiträge
1.988
Ort
Heilbronn
In einer Standardinstallation kannst als Administrator alles einstellen, was du als Administrator auch können sollst…

Systemrechte sind keine Userrechte, wahrscheinlich kommst du gleich noch mitm TrustesInstaller und Co… 🤦🏼
 

passat3233

Enthusiast
Mitglied seit
01.05.2007
Beiträge
3.442
Als Admin muß man manchmal Dinge auch mit Systemrechten oder Rechten des TrustedInstaller ausführen.
Z.B., wenn eine Treiberdeinstallation schief gegangen ist und man da Reste übrig bleiben, die z.B. eine Neuinstallation verhindern.
Dann muß man sich diese Rechte verschaffen, um die Reste beseitigen zu können.
 

Morpheuz

Enthusiast
Mitglied seit
20.08.2004
Beiträge
1.413
Muss man nicht. Für Dateien kannste immer den Besitz übernehmen
 

passat3233

Enthusiast
Mitglied seit
01.05.2007
Beiträge
3.442
Nein.
Ich habe schon entsprechende Fälle gehabt, bei denen man den Besitz nicht übernehmen konnte.
Meldung "Zugriff verweigert" beim Versuch, den Besitz zu übernehmen.
Und der Besitz wurde auch nicht übernommen.
 
Oben Unten