13
GPO Dateirechte greift nicht
Folgende Ausgangsstellung:
DC Win2008R2 in Domäne mit XP-Clients
Benutzer sind in einer OU "Firma" Computer in einer OU "Workstations"
Wir haben einige Programme die Schreibrechte in Verzeichnissen brauchen.
Das Verzeichnis ist z.B. c:\test
Wir haben nun eine Gruppenrichtlinie erstellt:
Computerconfiguration->Windowseinstellungen->Sicherheitseinstellungen->Dateisystem
Dort neuer Eintrag c:\test und Domänenbenutzer mit Lese-/Schreibrechten ausgestattet
-> vorhandene Berechtigungen für alle Unterordner und ..... ersetzen
Diese GPO ist verknüpft mit dem Stamm der Domöne also firma.local
Die Vererbung ist weder auf der OU Workstations noch auf OU Firma deaktiviert.
Teilweise existiert der Ordner auf der Arbeitsstation schon teilweise nicht. Wenn wir nun den Ordner test anlegen und ein gpupdate /force machen ändert sich auch nach Neustart nix. Die Rechte werden nicht verändert.
Sowohl gpresult als auch rsop.msc sagen die Richtlinie wurde angewendet.
Wir sind etwas ratlos warum die Rechte nicht gesetzt werden. Die Workstations sind komplett durchgepatcht via WSUS.
Hat da jemand ne Idee oder Ansätze ?
DC Win2008R2 in Domäne mit XP-Clients
Benutzer sind in einer OU "Firma" Computer in einer OU "Workstations"
Wir haben einige Programme die Schreibrechte in Verzeichnissen brauchen.
Das Verzeichnis ist z.B. c:\test
Wir haben nun eine Gruppenrichtlinie erstellt:
Computerconfiguration->Windowseinstellungen->Sicherheitseinstellungen->Dateisystem
Dort neuer Eintrag c:\test und Domänenbenutzer mit Lese-/Schreibrechten ausgestattet
-> vorhandene Berechtigungen für alle Unterordner und ..... ersetzen
Diese GPO ist verknüpft mit dem Stamm der Domöne also firma.local
Die Vererbung ist weder auf der OU Workstations noch auf OU Firma deaktiviert.
Teilweise existiert der Ordner auf der Arbeitsstation schon teilweise nicht. Wenn wir nun den Ordner test anlegen und ein gpupdate /force machen ändert sich auch nach Neustart nix. Die Rechte werden nicht verändert.
Sowohl gpresult als auch rsop.msc sagen die Richtlinie wurde angewendet.
Wir sind etwas ratlos warum die Rechte nicht gesetzt werden. Die Workstations sind komplett durchgepatcht via WSUS.
Hat da jemand ne Idee oder Ansätze ?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 135672
Url: https://administrator.de/contentid/135672
Printed on: April 25, 2024 at 11:04 o'clock
13 Comments
Latest comment
Nur so als Idee:
Auf ner W2k3 Domäne hab ich sowas auch im Einsatz, läuft tadellos. Da Windows Variablen mag, würd ich die auch nutzen -> damit klappts nämlich bei mir.
So denke ich, dass du die Berechtigung für "%SystemDrive%\temp" vergeben möchtest.
Auf ner W2k3 Domäne hab ich sowas auch im Einsatz, läuft tadellos. Da Windows Variablen mag, würd ich die auch nutzen -> damit klappts nämlich bei mir.
So denke ich, dass du die Berechtigung für "%SystemDrive%\temp" vergeben möchtest.
Danke aber das ersetzt er automatisch...also bei mir steht in der GPO %SystemDrive%\test...
Nett 
Hast du auch bei den Sicherheitseinstellungen in der Gruppenrichtlinie die Vererbung übergeordneter Berechtigungen für den Ordner deaktiviert?
Also bei "Sicherheit bearbeiten" - "Erweitert".
Hast du auch bei den Sicherheitseinstellungen in der Gruppenrichtlinie die Vererbung übergeordneter Berechtigungen für den Ordner deaktiviert?
Also bei "Sicherheit bearbeiten" - "Erweitert".
Hatte ich nicht beachtet...nachgeschaut ist aber per Default abgewählt.. !
Jetzt ist ein GPO-Experte gefragt.....
Hi.
Es sollte so klappen. Hab's schnell mit einem 2008er und xp nachgestellt.
Starte procmon auf dem Client und filtere während Du gpupdate /force /target:computer auf dem Client machst nach process name: services.exe und Pfad c:\test. Du solltest einen Versuch sehen, die Sicherheit zu verändern, also Operation: SetSecurityFile
Es sollte so klappen. Hab's schnell mit einem 2008er und xp nachgestellt.
Starte procmon auf dem Client und filtere während Du gpupdate /force /target:computer auf dem Client machst nach process name: services.exe und Pfad c:\test. Du solltest einen Versuch sehen, die Sicherheit zu verändern, also Operation: SetSecurityFile
Habe ich gemacht.....ich sehe allerdings keinen Versuch.
Muss man noch etwas anderes einstellen/beachten ?
Muss man noch etwas anderes einstellen/beachten ?
Seltsam. Nee, es fehlt nichts.
Nimm einen weiteren, schon vorhandenen Ordner und teste erneut.
Nimm einen weiteren, schon vorhandenen Ordner und teste erneut.
Habe schon eine weitere Gruppenrichtlinie mit einem Ordner c:\test2 erstellt. Auch sie wird laut gpresult angewendet, passieren tut aber nix.
Kriegen wir schon noch.
Öffne mal \\DeinDC\SYSVOL\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
(wobei 31B2F340-016D-11D2-945F-00C04FB984F9 die ID Deiner Policy sein muss, hier: default policy)
Dort steht bei mir unter anderem:
[File Security]
"%SystemDrive%\test",2,"D:PAR(A;OICIIO;FA;;;CO)(A;OICI;FA;;;SY)(A;OICI;0x1200a9;;;DU)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;S-1-5-21-2649727851-2174783705-3715056715-1106)(A;OICI;0x1200a9;;;BU)"
(ich hab den Domänenbenutzern Leserechte gewährt)
Was steht bei Dir unter [File Security]?
Öffne mal \\DeinDC\SYSVOL\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
(wobei 31B2F340-016D-11D2-945F-00C04FB984F9 die ID Deiner Policy sein muss, hier: default policy)
Dort steht bei mir unter anderem:
[File Security]
"%SystemDrive%\test",2,"D:PAR(A;OICIIO;FA;;;CO)(A;OICI;FA;;;SY)(A;OICI;0x1200a9;;;DU)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;S-1-5-21-2649727851-2174783705-3715056715-1106)(A;OICI;0x1200a9;;;BU)"
(ich hab den Domänenbenutzern Leserechte gewährt)
Was steht bei Dir unter [File Security]?
Bei mir steht in der GptTmpl.inf:
[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%SystemDrive%\test",0,"D:PAR(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;BU)(A;OICI;0x1301bf;;;DU)(A;OICIIO;FA;;;CO)(A;OICI;FA;;;SY)"
Ziemlich cryptisch.
[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%SystemDrive%\test",0,"D:PAR(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;BU)(A;OICI;0x1301bf;;;DU)(A;OICIIO;FA;;;CO)(A;OICI;FA;;;SY)"
Ziemlich cryptisch.
Ich bin der Sache aufgrund Deiner Antwort gerade etwas näher gekommen. In meiner Tmpl.inf war ist ja nun keine BenutzerID zu finden, ich habe in der Sicherheitsfilterung nun aber auch nur "Authentifizierte Benutzer" drinstehen. Sobald ich nun z.B. "Jeder" dort hinzufüge klappt es plötzlich !!
Ich habe aber bei anderen GPOs, z.B. Firewallausnahmen, Laufwerksverknüpfungen, auch nur Authentifizierte Benutzer" drinstehen und das geht so auch prima. Muß man bei solchen GPOs speziell die Gruppe in der Sicherheitsfilterung angeben ?
EDIT: Also ich habe es jetzt hi und her getestet es geht einwandfrei.
Ich verstehe allerdings immer noch nicht warum ich bei einigen GPO's nur die "Authentifizierte Benutzer" in der Sicherheitsfilterung drinstehen haben muß und bei anderen das nicht klappt.....
Ich habe aber bei anderen GPOs, z.B. Firewallausnahmen, Laufwerksverknüpfungen, auch nur Authentifizierte Benutzer" drinstehen und das geht so auch prima. Muß man bei solchen GPOs speziell die Gruppe in der Sicherheitsfilterung angeben ?
EDIT: Also ich habe es jetzt hi und her getestet es geht einwandfrei.
Ich verstehe allerdings immer noch nicht warum ich bei einigen GPO's nur die "Authentifizierte Benutzer" in der Sicherheitsfilterung drinstehen haben muß und bei anderen das nicht klappt.....
Bei mir geht es ohne "jeder" - keine Ahnung, sollte ohne gehen.
