emeriks
Goto Top

DC: Wiederverwendung von Computerkonten bei Domänenbeitritten zulassen

Hi,
ich habe hier ein komisches Verhalten im AD.

Ich versuche die Sicherheitsoption
Domänencontroller: Wiederverwendung von Computerkonten bei Domänenbeitritten zulassen
auf Domänencontrollern per GPO zu setzen.

Dazu habe ich diese Option in der "Default Domain Controllers Policy" festgelegt.

Die DC's wenden diese Richtlinie auch an, laut RSOP auch diese Sicherheitsoption mit dem gewünschten Wert.
Aber wenn man dann am DC (egal welcher) in die "Lokale Sicherheitsrichtlinie" reinschaut, dann ist das Feld dort leer. (siehe Screenshot)

"Neu laden", MMC neu starten, "gpupdate /force" - alles schon gemacht.

Hat jemand ne Idee, was da los sein könnte?

E.

2024-09-17 16_31_10

Content-ID: 668199

Url: https://administrator.de/contentid/668199

Ausgedruckt am: 18.12.2024 um 17:12 Uhr

emeriks
emeriks 17.09.2024 um 16:55:35 Uhr
Goto Top
Der entsprechende Registry-Wert kommt auch an ...

2024-09-17 16_54_05
DerWoWusste
DerWoWusste 17.09.2024 um 16:57:55 Uhr
Goto Top
Die lokale Richtlinie graut manchmal Dinge aus, wenn eine Domänen GPO was vorschreibt, aber längst nicht immer. Normales Verhalten.
emeriks
emeriks 17.09.2024 um 17:00:48 Uhr
Goto Top
Danke, DWW.

Habe gerade in einer anderen Domäne getestet: It's a feature!

Wenn man auf einem DC manuell diesen Wert setzt, dann landet das dort auch in der Registry.
Startet man nanschließend die MMC neu, wird wieder angezeigt "nicht definiert". Na klasse ...
150704
150704 17.09.2024 aktualisiert um 17:05:37 Uhr
Goto Top
Zitat von @DerWoWusste:

Die lokale Richtlinie graut manchmal Dinge aus, wenn eine Domänen GPO was vorschreibt, aber längst nicht immer. Normales Verhalten.
Dito gleiches Verhalten auch hier. Die lokale MMC ist auf einem Auge blind, manchmal auch auf 2 face-big-smile. Nur ein Anzeigeproblem, angewendet wird es trotzdem ...
emeriks
emeriks 17.09.2024 um 17:06:53 Uhr
Goto Top
Müsste man nicht mit secedit die aktuell geltenden Einstellungen exportiert bekommen?
emeriks
Lösung emeriks 17.09.2024 aktualisiert um 17:19:39 Uhr
Goto Top
Wenn ich das exportiere mit
secedit /export /mergedpolicy /cfg c:\temp\temp.inf
dann ist in der erzeugten INF die Zeile aus der GPO nicht enthalten.

In der Datei "GptTmpl.inf" der "Default Domain Controllers Policy" ist die Zeile enthalten:
[Registry Values]
MACHINE\System\CurrentControlSet\Control\SAM\ComputerAccountReuseAllowList=1,"O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-51044)"  

In der mit secedit erzeugten INF jedoch nichts dergleichen.

Mist! Gilt diese Einstellung nun oder nicht?
Wir kann man das sicher verifizieren? Einfach auf den vorhandenen Registry-Wert verlassen?
150704
150704 17.09.2024 aktualisiert um 17:22:27 Uhr
Goto Top
Wir kann man das sicher verifizieren? Einfach auf den vorhandenen Registry-Wert verlassen?
Ja.
Gilt diese Einstellung nun oder nicht?
Ja.
emeriks
Lösung emeriks 17.09.2024 um 17:21:47 Uhr
Goto Top
Nee.
Einfach nur Feierabend machen ...

Ich habe auf dem falschen Computer exportiert. face-sad

Der DC meldet mir in der INF dann den korrekten Wert.

Ich gehe jetzt spielen ...
Freak-On-Silicon
Freak-On-Silicon 18.09.2024 um 09:55:31 Uhr
Goto Top
Funktioniert diese GPO bei dir auch?

Bei mir nämlich nicht.