Hallo zusammen,

hatte die Woche ein seltsames Problem und würde euch gern darüber Berichten:

Wir wollten über Gruppenrichtlinie einstellen, dass der Dienst "Windows Update"bei Rechnern auf "Automatisch "gestellt wird. User können so den Dienst nicht deaktivieren.

Leider ist bei der Konfiguration ein Fehler passiert und es wurde nicht nur der Dienst auf "Automatisch" gestellt, sondern es wurden auch Berechtigungen für den Dienst vergeben.

Es wurden folgende Accounts berechtigt:

BULTIN\Administrators - Full Control
NT AUTHORITY\System - Full Control
NT AUTHORITY\INTERACTIVE - Read

Wie ist das passiert?
Geht man im "Group Policy Editor" zu den "System Services" und stellt den "Windows Update" Dienst auf "Automatic" und klickt danach ausversehen auf "View Security" und klickt dann auf OK, sind oben genannte Accounts berechtigt. Fällt leider im ersten Moment nicht auf, da man ja nichts geändert hat.

Welche Auswirkungen hatte das?
Seltsamerweise funktioniert bei Windows 7 alles einwandfrei, allerdings startet bei Windows XP der wuauserv Dienst nicht mehr mit folgender Fehlermeldung:

Error 0x80004015: The class is configured to run as a security id different from the caller

Das passiert sowohl bei bereits installierten XP Rechnern, als auch bei neuinstallierten PCs.

Wir haben nachdem es aufgefallen ist, die Berechtigungen wieder aus der Group Policy genommen. Jetzt startet der Dienst zwar bei neuinstallierten Rechnern, aber nicht bei bereits aktiven. Also haben wir nach einer Lösung gesucht und eine gefunden. Man muss folgende Berechtigungen über die Gruppenrichtlinie verteilen:

BULTIN\Administrators - Full Control
NT AUTHORITY\System - Full Control
NT AUTHORITY\INTERACTIVE - Read
NT AUTHORITY\Authenticated Users - Read

Danach kann der Dienst auch wieder bei bereits installierten Rechnern starten.
Noch einmal Glück gehabt 

Sorry für das Deutsch/Englisch Gemisch 

Gruß
Zebbelin

Oh ist ja eine böse Falle, danke für den Bericht