Nach Update keine Benutzerrechte mehr obwohl als Admin angemeldet

Ich habe über die Autoupdatefunktion WIN2000 aktualiesiert. Seit dem habe ich keine Rechte mehr Hardwarekomponenten zu entfernen oder Software zu installieren. Nichtmal die Zeit kann ich verändern. Ich bekomme den Hinweis das mir die nötigen Rechte fehlen und ich mich als Administrator anmelden soll. ich bin aber bereits als Administrator angemeldet. Es gibt nur den einen Benzutzer auf meinem Rechner.

 

Welches Update war das denn?

Was ist mit dem Admin-Konto das bei der Installation angelegt wird? Geht das auch nicht mehr?

 

Wenn Du als Admin. angemeldet bist, was hindert Dich daran, Dir die (alten) Rechte zu verschaffen?


Bsp.:

> Nichtmal die Zeit ...

Start-> Verwaltung-> lok.SicherheitsRichtlinie-> Zuweisen von BenutzerRechten
# Ändern der SystemZeit = Admins; Hauptbenutzer


Für die Zukunft:

Konto anlegen und der Grp. der Administratoren hinzufügen. - Da hat man eins für schlechte Zeiten...

-Ace-

 

In den Einstellungen sind die Rechte korrekt vergeben. Hab auch versucht einen Neuen Benutzer anzulegen und dem Administratorechte zu geben. Ging auch. Aber wenn ich mich mit dem anmelde passiert das selbe.

 

Die Frage bleibt: Welches Update wars denn?

Kannst du das nicht einfach wieder deinstallieren?

 

Dafür hat er ja keine Rechte mehr. In dem neuen ERD Commander 2005 gibt es eine Funktion, von der gebooteten PE-Builder-CD aus Updates zu deinstallieren (dafür bräuchte man keine Rechte). Aber das Programm ist nicht ganz billig und man wird so etwas nicht nur für einen solchen Einsatz kaufen.

 

Habe dank Ace Piet rausgefunden wie ich die Rechte für den Admin wieder herstelle. Die Zuordnungen waren tatsächlich weg. Dummerweise hab ich dann alle punkte inStart-> Verwaltung-> lok.SicherheitsRichtlinie-> Zuweisen von BenutzerRechten
# Ändern der SystemZeit = Admins; Hauptbenutzer
angeklickt und Adminrechte zugewiesen weil ich der Meinung war das der Admin ja alles können soll. Hab leider übersehen das da auch stand "Anmeldung verhinder". Jetzt kann ich mich nicht mehr anmelden.

 

Autsch. Hast du das für alle Admins gemacht oder nur für deinen Benutzernamen?

 

Ich habe als Zuordnung die Benuzergruppe "Administratoren" genommen. also alle Admins. Kann mich unter keinem Benutzer mehr einloggen. Weil beide (hab nur 2 und "Gast" ist deaktiviert) Benutzer der Gruppe Admins zugeordnet sind.

 

Hast du nur die Lokale Anmeldung für die Administratoren verweigert oder auch die Netzwerkanmeldung ? Wenn du dich noch über das Netzwerk als Admin anmelden kannst, gibt es Möglichkeiten, das Ganze wieder zurechtzubiegen.

 

Tippe auf KB885835, hat auf einer ganzen Reihe von Rechnern massive Probleme verursacht - vorallem im Zusammenhang mit div. "Optimierungstools".

Gruss, Matthias

 

Bei den BenutzerRichtlinien gibt es "Lokal anmelden" und "Lokal anmelden verweigern". - Bei ersterem sollten alle Grpn. und Benutzer stehen und (weil eine Negation grundsätzl. Vorrang hat) beim lokalen verweigern iw. nur "Gast". - Ich vermute, Du hast HIER den Admin. eingetragen.

Leider ist damit auch die Möglichkeit dahin, sich übers Netz anzumelden (die Berechtigungen Netz und lokal UNDieren sich), Verweigerung schlägt alles. Falls es keinen 2-ten User (Ersatz-Admin) gibt, wars das IMO ;-(

Zur Datenrettung: Du kannst ein zweites Win auf die gl. Partition installieren, Install-Verzeichnis "Win#2" (statt Windows). Alte Funktionalität (Verknüpf.) erhältst Du aber nicht zurück.

-Ace-
______________

PS.: Auf die Weise könntest Du die Reg.Datei des alten Windows ins neue importieren, bearbeiten und zurückschreiben (regedit -s *.reg). Einen Fernsupport traue ich mir aber nicht zu. ;-(

 

Man braucht eine PE-Builder. Dann geht man folgendermaßen vor :

- in PE-Builder regedit aufrufen und folgenden Zweig der offline-Registry laden (wie man das macht, habe ich hier beschrieben :
http://www.computerbase.de/forum/showpost.php?p=914786&postcount=8 )

HKEY_LOCAL_MACHINE\SECURITY\Policy\Accounts\S-1-5-32-544

- Dann diesen Schlüssel löschen und die geladene Struktur wieder in die Offline-Registry zurückschreiben.

- Jetzt kommst du wieder in dein System rein.

-Anschließend holst du dir von einem anderen w2k-System exakt diesen Zweig als reg-Datei und setzt damit wieder die Standard-Berechtigungseinträge für die Administratorengruppe.Man kommt unter einem normalen Windows nur an diesen Zweig ran, wenn man die Berechtigungen als Admin übernimmt. Per default hat nur das System Berechtigung.

- Zum Schluss wieder die Systemberechtigungen setzen, dabei das Vererbungsflag nicht vergessen.

Unter XP war es mir gar nicht gelungen, das Ganze nachzustellen, da das System sich weigert, der ganzen Gruppe der Administratoren die Berechtigung zum lokalen Login zu verweigern. Muss wohl eine W2K-Besonderheit sein.

 

@Ace Piet

Da irrt sich unser Netzwerkspezialist mal wieder gewaltig.Du verwechselst ACLs und Gruppenrichtlinien. Das ist nun beileibe nicht dasselbe. Es heißt nicht umsonst "Lokale Anmeldung verhindern ". Ich habe die Situation mit einem W2K-System exakt nachgestellt, und natürlich ist eine Netzwerkanmeldung des Admin z.B. mit administrativen Freigaben möglich und damit selbstverständlich auch ein Rettungsversuch mit einem Tool wie z.B. RegDACL

http://www.heysoft.de/nt/reg/ep-regd.htm

mit dem ich remote Registry-ACLs setzen und die Registry remote bearbeiten kann. Das scheint mir aber im Vergleich zur PE-Builder-Lösung der kompliziertere Weg zu sein.

 

Die Netzwerklösung ist auch einfach umzusetzen. Man braucht nicht ein Kommandozeilen-Tool wie RegDACL.

Man gibt auf dem entfernten Rechner auf der Kommandozeile folgenden Befehl ein :

net use \\w2krechner\ipc$ passwort /user:administrator

Damit eröffent man sich die Möglichkeit, die Registry des w2k-Rechners, in den ich nicht mehr reinkomme, remote zu bearbeiten.

Auf dem entfernten Rechner rufe ich regedit.exe auf :

Datei | Mit Netzwerkregistrierung verbinden

Den Netzwerknamen des w2k-Rechners (w2krechner) eingeben und den Security-Eintrag unter dem Machine-Zweig des w2k-Rechners wählen.
Dann die Rechte für den Admin so setzen, dass er auf alle Unterzweige Zugriff hat (Vererbung).
Man muss dann auf dem entfernten Rechner regedit noch einmal neu starten, um den Zugriff auf alle Unterzweige sichtbar werden zu lassen. Dann kann man den Eintrag für die Admin-Gruppe-wie oben schon beschrieben - löschen.
Allerdings sollte man auch -das habe ich oben noch vergessen - die beiden Registry.pol-Dateien aus dem %windir%\system32\GroupPolicy-Ordner in dem Machine-und User-Verzeichnis löschen (bzw. in einen temporären Ordner sichern, wenn man andere Gruppenrichtlinien nicht verlieren will ), sonst wird beim erneuten Booten der gelöschte Registry-Eintrag wieder neu eingelesen.
Ich konnte bei meinem Test diese Vorgehensweise erfolgreich praktizieren, nachdem ich mich auf die gleiche Weise wie der TO auf einem W2K-System ausgesperrt hatte.

 

Aslo das mit dem Netzwerk dürfte passee' sein da ich den Admin überall eingetragen habe. Also auch bei "Dienst anmelden verweigern". Die anderen Vorschläge hören sich sehr kompliziert an. Bin leider kein Spezialist. Gibt es da keine andere Möglichkeit von ner Bootdiskette aus (Norton Utilitys oder sowas?). Ich habe hier an nem anderen Rechner (alte Kiste ohne CD-Brenner) exakt das selbe WIN2K laufen. Trotzdem erstmal vielen Dank für eure Mühen. Ist mir wirklich wichtig, weil ich sehr wichtige Daten drauf hab. Die letzte Möglichkeit wäre dann eben die parallelinstallation. Würde die aber dann auf ne ander Platte machen (hab 2 die selben SCSI-Platten.)

 

Was bedeutet "überall" ? Und nur den Admin oder die Admin-Gruppe- wie du oben schriebst ? Das mit dem Netzwerkzugang mußt du einfach testen. Wie ich sagte : Wenn "nur" der lokale Zugang für alle Admins gesperrt ist, dann funktioniert der Netzwerkzugang trotzdem.

 

Die Admingruppe ist überall eingetragen (auch bei "als Dienst anmelden). Wie kann ich das testen? Wenn ich beim anmelden das Häkchen "über DFÜ anmelden" aktiviere kommt "kein RAS-Dienst installiert". Früher konnte der Rechner an dem ich jetzt sitze auf den anderen zugreifen (über Router).

 

Nein, das ist ein Mißverständnis. Du sollst versuchen, von einem anderen Rechner aus auf deinen über eine Netzwerkverbindung zuzugreifen.Wenn du eine Netzwerkkarte hast, dann verbinde deinen Rechner mal mit einem Crossover-Kabel mit einem anderen Rechner (wenn du selbst keinen zweiten Rechner hast, dann bitte z.B. mal einen Freund mit einem Notebook). Von diesem anderen Rechner führt man dann die Operation aus.

 

Der betroffene Rechner ist über einen Router mit diesem verbunden. auf beiden läuft das selbe Betriebssystem. Leider kenne ich mich nicht so gut aus mit Komadozeilen und so. Bin leider kein Spezialist in solchen Dingen. in der Netzwerkumgebung kann ich ihn sehen. Wenn ich versuche auf ihn zuzugreifen werde ich aufgefordert Benutzernamen und Kennwort einzugeben (war früher nicht). Gebe ich dann beides ein kommt das der zugriff verweigert wird.
Auch den Vorschlag mit der Komandozeile und Regedit habe ich versucht. Leider weiß ich nicht ob das mit der Komandozeile richtig ist. Wenn ich die folgende Zeile eingebe ( Start--->Ausführen) dann verschwindet das DOS-Fenster gleich wieder. hab also keine Kontrolle was da passiert. Wenn ich dann in die Regedit gehe und versuche mich übers Netzt entsprechend einzuwählen kommt "Verbinding mit WIN2K-Rechner nicht möglich, stellen sie sicher das sie Administratorrechte für diesen Rechner haben. (net use \\w2krechner\ipc$ passwort /user:administrator).
Ich würde auch gerne die Variante mit der Boot-CD versuchen. Leider habe ich keine Möglichkeit zu Brennen.