joeyfree
Goto Top

2003 Server - Default Domain Policy nicht vorhanden

Hallo,

aufgrund das es bei uns in letzter Zeit öfter vorkommt das
in einem allgemein zugänglichen Netzwerkordner willkürlich Dateien gelöscht werden
die aber immer noch gebraucht werden und für mich die Wiederherstellung nervig und auffwendig ist
wollte ich per GPO die Objektübewachung aktivieren.

Starte ich nun gpedit.msc
sind die Einträge unter Windows-Einstellunen/Sicherheitseinstellungen/ mit einem Schloss versehen.
Ergo ich kann keine Änderungen vornehmen.

Will ich per Gruppenrichtlinienverwaltung auf die Default Domain Policy zugreifen,
erhalte ich die Meldung: Gruppenrichtlinienehler. Das System kann den angegebenen Pfad nicht finden.

Gpotool.exe aus dem Windows Server 2003 Resource Kit Tools zeigt mir wie unten angeführt an das er keine Zugriff auf die Policies hat.

\\fw1\SYSVOL\fw.intra\Policies gescheckt..keine Default Domain Policy vorhanden.

Was tun?

Per DcGPOFix wiederherstellen?
Sehr viel habe ich bisher per GPO nicht gemacht,
lediglich einige Sperren für die Benutzer und die Konfiguration der WSUS-Updates.
Allerdings wurde dieser Server vor einiger Zeit von einem anderen Admin betreut, keine Ahnung was der eventuell dort gemacht hat.

Sind per DcGPOFix alle Einstellungen von mir weg?
Kann ich diese irgendwie davor sichern? Ich meine das meiste wird ja in die Registry eingetragen.

Ich bitte um Tips und Hilfe jeder Art face-smile
GPO & Co. ist nicht unbedingt mein Gebiet.

Danke, mfg
Michael


C:\Dokumente und Einstellungen\Administrator>Gpotool.exe
Validating DCs...
Available DCs:
fw1.fw.intra
fw2.fw.intra
Searching for policies...
Found 4 policies
Policy {31B2F340-016D-11D2-945F-00C04FB984F9}
Error: Cannot access \\fw1.fw.intra\sysvol\fw.intra\policies\{31B2F340-016D-11D2
-945F-00C04FB984F9}, error 2
Friendly name: Default Domain Policy
Error: Cannot access \\fw2.fw.intra\sysvol\fw.intra\policies\{31B2F340-016D-11D2
-945F-00C04FB984F9}, error 2
Details:
DC: fw1.fw.intra
Friendly name: Default Domain Policy
Created: 14.05.2005 15:44:33
Changed: 01.04.2009 09:30:12
DS version: 1(user) 17(machine)
Sysvol version: not found
Flags: 0 (user side enabled; machine side enabled)
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D
-00C04FA372D4}]
Machine extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{53D6AB1B-2488-11D1-A
28C-00C04FB94F17}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D
0-00A0C90F574B}][{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}{53D6AB1B-2488-11D1-A28C-
00C04FB94F17}]
Functionality version: 2
DC: fw2.fw.intra
Friendly name: Default Domain Policy
Created: 14.05.2005 15:44:33
Changed: 01.04.2009 09:30:27
DS version: 1(user) 17(machine)
Sysvol version: not found
Flags: 0 (user side enabled; machine side enabled)
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D
-00C04FA372D4}]
Machine extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{53D6AB1B-2488-11D1-A
28C-00C04FB94F17}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D
0-00A0C90F574B}][{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}{53D6AB1B-2488-11D1-A28C-
00C04FB94F17}]
Functionality version: 2
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Error: Cannot access \\fw1.fw.intra\sysvol\fw.intra\policies\{6AC1786C-016F-11D2
-945F-00C04FB984F9}, error 2
Friendly name: Default Domain Controllers Policy
Error: Cannot access \\fw2.fw.intra\sysvol\fw.intra\policies\{6AC1786C-016F-11D2
-945F-00C04FB984F9}, error 2
Details:
DC: fw1.fw.intra
Friendly name: Default Domain Controllers Policy
Created: 14.05.2005 15:44:33
Changed: 01.04.2009 08:43:46
DS version: 0(user) 22(machine)
Sysvol version: not found
Flags: 0 (user side enabled; machine side enabled)
User extensions: not found
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A
0D0-00A0C90F574B}]
Functionality version: 2
DC: fw2.fw.intra
Friendly name: Default Domain Controllers Policy
Created: 14.05.2005 15:44:33
Changed: 01.04.2009 08:43:54
DS version: 0(user) 22(machine)
Sysvol version: not found
Flags: 0 (user side enabled; machine side enabled)
User extensions: not found
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A
0D0-00A0C90F574B}]
Functionality version: 2
Policy {6E9AA1CF-169D-442A-803E-319C92C91FFA}
Friendly name: Objektzugriff
Policy OK
Policy {DEE3C19D-ED9E-42E2-A744-6A6EDE0F978D}
Error: Cannot access \\fw1.fw.intra\sysvol\fw.intra\policies\{DEE3C19D-ED9E-42E2
-A744-6A6EDE0F978D}, error 2
Friendly name: Ordnerumleitung
Error: Cannot access \\fw2.fw.intra\sysvol\fw.intra\policies\{DEE3C19D-ED9E-42E2
-A744-6A6EDE0F978D}, error 2
Details:
DC: fw1.fw.intra
Friendly name: Ordnerumleitung
Created: 20.05.2005 13:51:26
Changed: 28.06.2005 11:46:41
DS version: 4(user) 0(machine)
Sysvol version: not found
Flags: 0 (user side enabled; machine side enabled)
User extensions: [{25537BA6-77A8-11D2-9B6C-0000F8080861}{88E729D6-BDC1-11D1-BD2A
-00C04FB9603F}]
Machine extensions: not found
Functionality version: 2
DC: fw2.fw.intra
Friendly name: Ordnerumleitung
Created: 20.05.2005 13:51:26
Changed: 28.06.2005 11:46:56
DS version: 4(user) 0(machine)
Sysvol version: not found
Flags: 0 (user side enabled; machine side enabled)
User extensions: [{25537BA6-77A8-11D2-9B6C-0000F8080861}{88E729D6-BDC1-11D1-BD2A
-00C04FB9603F}]
Machine extensions: not found
Functionality version: 2

Errors found

C:\Dokumente und Einstellungen\Administrator>

Content-ID: 112989

Url: https://administrator.de/contentid/112989

Ausgedruckt am: 08.11.2024 um 13:11 Uhr

Logan000
Logan000 01.04.2009 um 15:10:00 Uhr
Goto Top
Moin Moin

Hier solten alle deine Fragen beantwortet werden:
http://www.gruppenrichtlinien.de/index.html?/HowTo/Default_Richtlinien_ ...

Gruß L.
JoeyFree
JoeyFree 01.04.2009 um 15:25:19 Uhr
Goto Top
Danke für die Info face-smile

Liest sich interessant, nur lese ich immer quasi "wird auf Ursprungseinstellung zurückgesetzt".
Und da schlackern mir die Ohren.

Gibts es kein Tool das bereits erstellte Einstellungen aus der Registry ausließt?


Gruss
Michael
Logan000
Logan000 02.04.2009 um 11:43:08 Uhr
Goto Top
Moin Moin

Gibts es kein Tool das bereits erstellte Einstellungen aus der Registry ausließt?
Ich kenne leider keins. Aber selbst wenn, würde ich das niemals mit der Default Domain Pol. verwenden. Das wäre mir zu heiß.

Abgesehen davon: Wenn dein Vorgänger/Vertreter Änderungen nicht dokumentiert hat ist das jetzt die Gelegenheit das sauber nachzuholen.

Plan B: wäre wohl eine AD Rücksicherung. Vorrausgesetzt du kennst einen Zeitpunkt an dem die Richtlinie noch exitierte und von dem du noch eine Sicherung hast.

Gruß L.
JoeyFree
JoeyFree 02.04.2009 um 14:40:29 Uhr
Goto Top
Schade face-sad

Dokumentation gab es leider nicht viel.
Vieles musste ich mir mühsam zusammenreimen ^^
Und welche Änderungen er noch gemacht hat...keine Ahnung.
Bei Firmen wo es nur 1 Admin gibt tickt alles bissl anders.....

Sicherung kann bis zu Oktober 2008 zurückgreifen, aber selbst da sind die GPO in dem Ordner nicht mehr vorhanden.

Die Frage für mich ist wohl nun, was passiert im Worst Case Szenario wenn ich die GPO zurücksetze?
Ich habe hier 4 W3 Server und ~ 40 XP Clients.
Meines wissen wurde die GPO nicht sehr bemüht...

Was ich beim grübeln bin, die letzen paar Monate habe ich einige neue Rechner in die Domäne geschmissen,
und diese werkeln gleich wie alle anderen. Normalerweise sollten die ja keine GPO Daten vom Server empfangen können.
Sprich, viel sollte ja nicht passieren wenn ich die GPO zurücksetze?

Zur Not wohl Image vom Server machen, GPO zurücksetzen und wenn die Clients zicken den Server wieder zurücksetzen?
Logan000
Logan000 02.04.2009 um 15:28:25 Uhr
Goto Top
Moin Moin

Und welche Änderungen er noch gemacht hat...keine Ahnung.
Bei Firmen wo es nur 1 Admin gibt tickt alles bissl anders.....
Was denn? Das Du vor der Arbeit von, nicht greifbaren Kollegen/Vertretern stehst und nicht weist was die gemacht haben?
Ich glaube das läuft besser wenn du Einzelkämper bist, als in einer Zig Mann starken Abteilung.

Was ich beim grübeln bin, die letzen paar Monate habe ich einige neue Rechner in die Domäne geschmissen, und diese werkeln gleich wie alle anderen. Normalerweise sollten die ja keine GPO Daten vom Server empfangen können.
Sprich, viel sollte ja nicht passieren wenn ich die GPO zurücksetze?
Das ist in der Tat ein gutes Zeichen. Hinzu kommt noch, alle zusätzlichen Einstellungen werden ja nicht automatisch zurückgenommen nur die evtl. geänderten könnten Ärger machen.
Aber ist ja nicht soviel drinne.

Gruß L.
JoeyFree
JoeyFree 02.04.2009 um 15:36:13 Uhr
Goto Top
Hi face-smile

Zitat von @Logan000:
Moin Moin

> Und welche Änderungen er noch gemacht hat...keine Ahnung.
> Bei Firmen wo es nur 1 Admin gibt tickt alles bissl anders.....
Was denn? Das Du vor der Arbeit von, nicht greifbaren
Kollegen/Vertretern stehst und nicht weist was die gemacht haben?
Ich glaube das läuft besser wenn du Einzelkämper bist, als
in einer Zig Mann starken Abteilung.

Ich weiß nicht, ich gucke da immer neidisch zu meinen "Berufskollegen". Eine IT mit 3 Leuten, da läuft einfach alles besser.
Alleine hast du das Problem das sobald mehr als 2 dringende Sachen anstehen ordentlich ins rudern kommst.
Als Beispiel: Farbkopierer aka Drucker für 15 Leute steht, Kassa bringt ne Fehlermeldung und irgendein Benutzer hat sich aus ner Sitzung ausgesperrt.
Tja...... leider sind es in 90% der Fälle Bedienerfehler aber die böse EDV ist Dreck


> Was ich beim grübeln bin, die letzen paar Monate habe ich
einige neue Rechner in die Domäne geschmissen, und diese werkeln
gleich wie alle anderen. Normalerweise sollten die ja keine GPO Daten
vom Server empfangen können.
> Sprich, viel sollte ja nicht passieren wenn ich die GPO
zurücksetze?
Das ist in der Tat ein gutes Zeichen. Hinzu kommt noch, alle
zusätzlichen Einstellungen werden ja nicht automatisch
zurückgenommen nur die evtl. geänderten könnten
Ärger machen.
Aber ist ja nicht soviel drinne.

Gruß L.

Ja das denk ich mir auch.
Werde über nacht n´Image machen und mich morgen ran wagen.
Falls ich mich hier nicht mehr melde bin ich auf Jobsuche


Wohler wäre mir schon wenn einer Berichten könnte wie er das Problem lösen konnte und wie schwerwiegend die Zurücksetzung war.
Oder wo es Stolpersteine geben könnte.

lg
Michael
Logan000
Logan000 03.04.2009 um 08:35:05 Uhr
Goto Top
Moin Moin

Zitat von @JoeyFree:
Alleine hast du das Problem das sobald mehr als 2 dringende Sachen anstehen ordentlich ins rudern kommst.
Ich setz mir in solchen Fällen immer Prios.
Server und Netzwerkkomponenten zuerst.
Dann zentrale Probleme vor lokalen Problemen (Netzwerkdrucker geht vor ArbeitsplatzPC)
und Anwenderfehler vieleicht nach der Kaffepause. face-wink

Wohler wäre mir schon wenn einer Berichten könnte wie er das Problem lösen konnte und wie schwerwiegend die Zurücksetzung war.
Es ist mir leider bisher nicht gelungen die DefaultDomainPolicy zu verlieren.
Ich habe lediglich mal die Einstellungen der DefDomPol zurück gesetzt.
Oder wo es Stolpersteine geben könnte.
Damals haben nur die Kennwortrichtlinien etwas Arbeit gemach, da wir diese enom aufgeweicht hatten und plotzlich waren die wieder "scharf". Aber das hat man schnell im Griff.

Viel Erfolg

Gruß L.
JoeyFree
JoeyFree 03.04.2009 um 09:03:09 Uhr
Goto Top
Morgähn ;)

Zitat von @Logan000:
Ich setz mir in solchen Fällen immer Prios.
Server und Netzwerkkomponenten zuerst.
Dann zentrale Probleme vor lokalen Problemen (Netzwerkdrucker geht
vor ArbeitsplatzPC)
und Anwenderfehler vieleicht nach der Kaffepause. face-wink

Ja, den Ablauf hab ich so langsam auch gelernt. Man muss halt nur die Nerven bewahren und das durchziehen.
Manchmal kommt man sich da schon vor wie im Auge des Sturms aber ehrlich gesagt, am schlimmsten sind immer die einzelnen Arbeitsplätze bzw. Anwender.
Immer wieder erstaunlich was die alles herausfinden oder probieren. Über den Sinn darf man da meistens eh nicht mehr grübeln....
Server & Netzwerkmässig ist eh meistens schnell behoben...außer neulich als die USV meinte, sie wäre nun alt genug den Geist aufgeben zu dürfen....
Und den schon fast sprichwörtlichen Bagger vorm Haus und Stromkabel habe ich auch schon live erlebt.

Es ist mir leider bisher nicht gelungen die DefaultDomainPolicy zu
verlieren.
Bei mir war sie einfach nimmer da face-sad

Damals haben nur die Kennwortrichtlinien etwas Arbeit gemach, da wir
diese enom aufgeweicht hatten und plotzlich waren die wieder
"scharf". Aber das hat man schnell im Griff.

Hm, der Hinweis ist schon mal gut. Wurde bei uns garantiert gelockert.

Viel Erfolg

Thx