Freigeben über

Eine Gruppenrichtlinieneinstellung ist in der Liste der Sicherheitsrichtlinieneinstellungen nicht verfügbar.

In diesem Artikel wird ein Problem beschrieben, bei dem die Gruppenrichtlinieneinstellung "Systemobjekte: Standardbesitzer für Objekte, die von Mitgliedern der Gruppe "Administratoren" erstellt wurden, in der Liste der Sicherheitsrichtlinieneinstellungen nicht verfügbar ist.

Ursprüngliche KB-Nummer: 947721

Symptome

Wenn Sie versuchen, auf die Gruppenrichtlinieneinstellung "Systemobjekte: Standardbesitzer für Objekte, die von Mitgliedern der Gruppe "Administratoren" erstellt wurden, auf einem Computer zuzugreifen, auf dem Windows Vista oder neuer ausgeführt wird, ist diese Einstellung in der Liste der Sicherheitsrichtlinieneinstellungen nicht verfügbar.

Wenn die Einstellung in Ihrer Sicherheitsgruppenrichtlinie vorhanden ist, wird sie von Windows Vista und neueren Domänenmitgliedern ignoriert.

Ursache

Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2 unterstützen diese Einstellung nicht mehr. Wenn diese Option aktiviert ist, stellt die Benutzerkontensteuerung (User Account Control, UAC) sicher, dass das Benutzerkonto für alle lokal erstellten Objekte als Besitzer verwendet wird. Für den Remotezugriff wird die Gruppe der Administratoren verwendet, es gibt kein eingeschränktes Token für Netzwerksitzungen.

Da die Unterstützung für die Einstellung entfernt wurde, ist die Systemsicherheitsrichtlinie "Systemobjekte: Standardbesitzer für Objekte, die von Mitgliedern der Gruppe "Administratoren" erstellt wurden, nicht mehr auf der Benutzeroberfläche für Sicherheitsvorlagen verfügbar.

Lösung

Sie können die Gruppenrichtlinieneinstellung "Systemobjekte: Standardbesitzer für Objekte, die von Mitgliedern der Gruppe "Administratoren" erstellt wurden, der Benutzeroberfläche für Sicherheitsvorlagen hinzufügen.

Hinweis: Mit diesem Verfahren wird Windows Vista nicht berücksichtigt und die Einstellung höher als Windows XP und Windows Server 2003 berücksichtigt.

Um diese Gruppenrichtlinieneinstellung für einige Computer mit Windows XP oder Windows Server 2003 erstellen zu können, führen Sie die folgenden Schritte auf einem Computer aus, auf dem Windows Server 2008 ausgeführt wird:

  1. Melden Sie sich als lokaler Administrator an, um die Gruppenrichtlinieneinstellung zu konfigurieren.

  2. Erstellen Sie eine Sicherungskopie der Datei "c:\windows\inf\Sceregvl.inf".

  3. Übernehmen Sie den Besitz dieser Datei, und gewähren Sie der Gruppe "Administratoren" Vollzugriff auf Benutzerrechte. Gehen Sie hierzu folgendermaßen vor:

    Notiz

    Diese Datei gehört der Gruppe "TrustedInstaller". Daher haben die Administratoren nur schreibgeschützte Zugriffsrechte für Benutzer.

    1. Klicken Sie mit der rechten Maustaste auf die Datei "c:\windows\inf\Sceregvl.inf", und klicken Sie dann auf "Eigenschaften".
    2. Klicken Sie auf die Registerkarte Sicherheit .
    3. Klicken Sie auf Erweitert.
    4. Klicken Sie auf die Registerkarte "Besitzer ".
    5. Klicken Sie auf Bearbeiten.
    6. Klicken Sie unter " Besitzer ändern" auf die Gruppe "Administratoren " und dann auf "OK".
    7. Klicken Sie dreimal auf OK.

  4. Führen Sie die folgenden Schritte aus, um der Gruppe "Administratoren" Vollzugriff auf Benutzerrechte für die Datei zu gewähren.

    Notiz

    Nachdem Sie der Gruppe "Administratoren" Vollzugriff auf Benutzerrechte erteilt haben, können Sie Änderungen an der Datei bearbeiten und speichern.

    1. Klicken Sie mit der rechten Maustaste auf die Datei "c:\windows\inf\Sceregvl.inf", und klicken Sie dann auf "Eigenschaften".
    2. Klicken Sie auf die Registerkarte Sicherheit .
    3. Klicken Sie auf Bearbeiten.
    4. Klicken Sie unter "Gruppen- oder Benutzernamen" auf die Gruppe "Administratoren ".
    5. Klicken Sie unter "Berechtigungen für Administratoren" auf das Kontrollkästchen "Vollzugriff zulassen", und klicken Sie dann auf "OK".
    6. Klicken Sie auf 'OK ', um das Dialogfeld "Sceregvl.inf-Eigenschaften " zu schließen.

  5. Öffnen und bearbeiten Sie die Datei "c:\windows\inf\Sceregvl.inf" mithilfe von Editor.

  6. Kopieren Sie den folgenden Text, der alle in einer Zeile enthalten sein sollte:

    MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\nodefaultadminowner,3,"Systemobjekte: Standardbesitzer für Objekte, die von Mitgliedern der Gruppe "Administratoren" erstellt wurden",3,0|Gruppe "Administratoren",1|Objektersteller

  7. Fügen Sie den Text direkt hinter der folgenden Zeile in die Datei ein:(MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy,4,%SCENoAp plyLegacyAuditPolicy%,0)

  8. Speichern Sie die Änderungen an der Datei, und beenden Sie dann Editor.

  9. Setzen Sie den Dateibesitz und die Berechtigungen für die Datei "c:\windows\inf\Sceregvl.inf" wieder auf die Standardeinstellungen zurück. Gehen Sie dazu wie folgt vor:

    1. Klicken Sie mit der rechten Maustaste auf die Datei "c:\windows\inf\Sceregvl.inf", und klicken Sie dann auf "Eigenschaften".
    2. Klicken Sie auf die Registerkarte Sicherheit .
    3. Klicken Sie auf Erweitert.
    4. Klicken Sie auf die Registerkarte "Besitzer ".
    5. Klicken Sie auf Bearbeiten.
    6. Klicken Sie auf "Andere Benutzer oder Gruppen".
    7. Klicken Sie auf Standorte.
    8. Klicken Sie unter "Speicherorte" auf ihren lokalen Computernamen, und klicken Sie dann auf "OK".
    9. Geben Sie im Fenster "Benutzer oder Gruppe auswählen" unter "Geben Sie den auszuwählenden Objektnamen "NT SERVICE\TrustedInstaller" ein, und klicken Sie dann auf "OK".
    10. Klicken Sie im Fenster "Erweiterte Sicherheitseinstellungen für Sceregvl.inf" unter "Besitzer ändern" auf das TrustedInstaller-Konto, und klicken Sie dann auf "OK".
    11. Klicken Sie dreimal auf OK.

  10. Setzen Sie die Administratorgruppenzugriffsberechtigungen für die Datei "c:\windows\inf\Sceregvl.inf" wieder auf " Lesen und Ausführen " und "Lesen" zurück. Gehen Sie dazu wie folgt vor:

    1. Klicken Sie mit der rechten Maustaste auf die Datei "c:\windows\inf\Sceregvl.inf", und klicken Sie dann auf "Eigenschaften".
    2. Klicken Sie auf die Registerkarte Sicherheit .
    3. Klicken Sie auf Bearbeiten.
    4. Klicken Sie unter "Gruppen- oder Benutzernamen" auf die Gruppe "Administratoren ".
    5. Klicken Sie unter "Berechtigungen für Administratoren", um alle Kontrollkästchen außer dem Kontrollkästchen "Lesen und Ausführen " und dem Kontrollkästchen "Lesen " zu deaktivieren, und klicken Sie dann auf "OK".
    6. Klicken Sie auf 'OK ', um das Dialogfeld "Sceregvl.inf-Eigenschaften " zu schließen.

  11. Registrieren Sie die clientseitige Erweiterung für die Gruppenrichtlinie Scecli.dll Datei erneut. Öffnen Sie hierzu eine Eingabeaufforderung mit erhöhten Rechten, geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:REGSVR32 scecli.dll Klicken Sie auf 'OK'.

  12. Führen Sie die folgenden Schritte aus, um die Gruppenrichtlinieneinstellung "Systemobjekte: Standardbesitzer für Objekte anzuwenden, die von Mitgliedern der Gruppe "Administratoren" in den Einstellungen für lokale Sicherheitsrichtlinien erstellt wurden.

Notiz

Wenn es sich bei dem Computer um einen Domänencontroller handelt, verwenden Sie das Snap-In "Domänencontroller-Sicherheitsrichtlinie".

  1. Klicken Sie auf "Start", klicken Sie auf Systemsteuerung, klicken Sie auf "Verwaltung", und klicken Sie dann auf "Lokale Sicherheitsrichtlinie".
  2. Wechseln Sie zum Speicherort "Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen".
  3. Klicken Sie im rechten Bereich des Fensters mit der rechten Maustaste auf die Gruppenrichtlinieneinstellung "Systemobjekte: Standardbesitzer für Objekte, die von Mitgliedern der Gruppe "Administratoren" erstellt wurden, und klicken Sie dann auf "Eigenschaften".
  4. Klicken Sie im Dropdownfeld auf "Objektersteller", und klicken Sie dann auf "OK".
  5. Möglicherweise erhalten Sie eine Warnung in einem Windows-Sicherheit Meldungsfeld. Lesen Sie die Warnung und klicken Sie dann auf Ja.