Problem: Sobald man ein Image erstellen möchte von einem Computer und den PC vorher nicht aus der Domäne genommen hat, kann es dann vorkommen sobald man ein Rechner mit dem Image aufsetzt, keine Treiber oder ähnliches installieren kann. Dann hilft nur noch dieser Befehl:
Zurücksetzen des kompletten Systems (Dateisystem, Registry, Benutzerberechtigungen) auf Urzustand, nach Setup
secedit /configure /db %temp%\temp.sdb /cfg “%systemroot%\security\templates\setup security.inf”
sollte dieser nicht funktionieren einfach:
secedit /configure /DB secedit.sdb /CFG C:\windowst\inf\defltwk.inf
ausprobieren.
Zurücksetzen der Default NTFS Berechtigungen auf dem Systemlaufwerk auf die Ursprungswerte des Setups. Kann auch benutzt werden, um eine nachträglich von FAT32 zu NTFS konvertierte Partition mit den passenden Sicherheitseinstellungen auszustatten.
für eine XP Workstation:
secedit /configure /db %temp%\temp.sdb /cfg %systemroot%\inf\defltwk.inf /areas filestore
für einen 2003 Server, dort ändert sich der letzte Namensanteil der Sicherheitsvorlage (*sv.inf anstelle von *wk.inf):
secedit /configure /db %temp%\temp.sdb /cfg %systemroot%\inf\defltsv.inf /areas filestore
Erklärungshinweise zum oberen Befehl:
-
secedit ist der MS eigene Security Editor, der dir es ermöglicht Berechtigungen zu überprüfen und u.A. anhand von definierten Vorlagen zu vergleichen, bzw. auch diese Vorlagen anzuwenden.
-
/configure – die Anweisung dessen, was zu tun ist => “Konfigurieren” … und nicht vergleichen oder anderes …
-
/db braucht man, um den aktuellen Zustand in eine Datenbank zu schreiben, damit das System weiß wo Änderungen zu erfolgen haben. Zuerst wird eine Analyse des IST-Zustandes durchgeführt, erst danach kommt die Konfiguration.
- temp.mdb inkl. Pfad der Dateiname und Speicherpfad der mit /db angegebenen Datenbank … könnte auch c:\irgendeinVerzeichnis\Dieter.mdb sein
- die defltwk.inf ist die “Default Workstation Informationsdatei” Während der Installation eines Systems muss die Setup Routine ja wissen, welche Berechtigungen auf welche Datei und/oder der Registry geschrieben werden müssen. Diese Informationen bekommt das Setup aus der defltwk.inf
- /areas, jetzt geht es nur noch um welchen Bereich der Berechtigungen die neu gesetzt werden sollen. In diesem Fall “filestore”… der Dateibereich.
Weitere Optionen für den Bereich AREA:
SECURITYPOLICY Umfasst Kontorichtlinien, Überwachungsrichtlinien, Ereignisprotokolleinstellungen und Sicherheitsoptionen.
GROUP_MGMT Umfasst Einstellungen für eingeschränkte Gruppen
USER_RIGHTS Umfasst Zuweisungen von Benutzerrechten
REGKEYS Umfasst Berechtigungen in der Registrierung
FILESTORE Umfasst Berechtigungen im Dateisystem
SERVICES Umfasst Einstellungen für Systemdienste
Aktualisierung und erneute Anwendung der aktuellen Sicherheits- und Gruppenrichtlinien:
2K/Benutzer: secedit /refreshpolicy user_policy /enforce
2K/Computer: secedit /refreshpolicy machine_policy /enforce
XP/Benutzer: gpupdate /target:user /force /wait:0
XP/Computer: gpupdate /target:computer /force /wait:0
Hauptsyntax und Möglichkeiten die secedit bietet.
secedit /analyze – reine Analyse des aktuellen System. Vergleich mit definierten Vorlagen um Unterschiede herauszufiltern, z.B.: Vergleich mit der hisecsv.inf, an welchen Stellen weiche meine Konfiguration von der „sicheren“ vordefinierten ab und wie, bzw. wo sollte ich evtl. noch verschärfte Einstellungen vornehmen.
secedit /configure – wie oben in den Beispielen gezeigt, Anwendung und Einsatz eines vorhandenen Templates.
secedit /export – Export der aktuellen Einstellungen. Damit die Möglichkeit diese Konfiguration auf einen anderen System via /import wieder zu implementieren
secedit /import – siehe Export
secedit /validate – Überprüfung der Syntax eines Security Templates
secedit /GenerateRollback – erst ab Windows XP/2003, Erstellung eines „Rollbacks“, wenn man so will ein Backup der aktuellen Einstellungen und die Möglichkeit nach Änderungen diese wieder zurückzusetzen
secedit /refreshpolicy – Anwendung der aktuellen Sicherheits- und Gruppenrichtlinien Benutzer- oder Computerbezogen. Ist in Windows XP/2003 durch gpupdate ersetzt worden.
Hilfe und weitere Syntax und Beispiele über secedit /? In der internen Hilfe des Systems.
Windows 2000: ms-its:C:\WINNT\Help\secedit.chm::/sag_SECEDITHowToTN.htm
Windows 2003: ms-its:C:\WINDOWS\Help\ntcmds.chm::/secedit_cmds.htm
Letzte Kommentare