9
DC: Wiederverwendung von Computerkonten bei Domänenbeitritten zulassen
Hi,
ich habe hier ein komisches Verhalten im AD.
Ich versuche die Sicherheitsoption
Dazu habe ich diese Option in der "Default Domain Controllers Policy" festgelegt.
Die DC's wenden diese Richtlinie auch an, laut RSOP auch diese Sicherheitsoption mit dem gewünschten Wert.
Aber wenn man dann am DC (egal welcher) in die "Lokale Sicherheitsrichtlinie" reinschaut, dann ist das Feld dort leer. (siehe Screenshot)
"Neu laden", MMC neu starten, "gpupdate /force" - alles schon gemacht.
Hat jemand ne Idee, was da los sein könnte?
E.
ich habe hier ein komisches Verhalten im AD.
Ich versuche die Sicherheitsoption
Domänencontroller: Wiederverwendung von Computerkonten bei Domänenbeitritten zulassen
auf Domänencontrollern per GPO zu setzen.Dazu habe ich diese Option in der "Default Domain Controllers Policy" festgelegt.
Die DC's wenden diese Richtlinie auch an, laut RSOP auch diese Sicherheitsoption mit dem gewünschten Wert.
Aber wenn man dann am DC (egal welcher) in die "Lokale Sicherheitsrichtlinie" reinschaut, dann ist das Feld dort leer. (siehe Screenshot)
"Neu laden", MMC neu starten, "gpupdate /force" - alles schon gemacht.
Hat jemand ne Idee, was da los sein könnte?
E.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668199
Url: https://administrator.de/contentid/668199
Ausgedruckt am: 18.11.2024 um 13:11 Uhr
9 Kommentare
Neuester Kommentar
Der entsprechende Registry-Wert kommt auch an ...
Die lokale Richtlinie graut manchmal Dinge aus, wenn eine Domänen GPO was vorschreibt, aber längst nicht immer. Normales Verhalten.
Danke, DWW.
Habe gerade in einer anderen Domäne getestet: It's a feature!
Wenn man auf einem DC manuell diesen Wert setzt, dann landet das dort auch in der Registry.
Startet man nanschließend die MMC neu, wird wieder angezeigt "nicht definiert". Na klasse ...
Habe gerade in einer anderen Domäne getestet: It's a feature!
Wenn man auf einem DC manuell diesen Wert setzt, dann landet das dort auch in der Registry.
Startet man nanschließend die MMC neu, wird wieder angezeigt "nicht definiert". Na klasse ...
Zitat von @DerWoWusste:
Die lokale Richtlinie graut manchmal Dinge aus, wenn eine Domänen GPO was vorschreibt, aber längst nicht immer. Normales Verhalten.
Dito gleiches Verhalten auch hier. Die lokale MMC ist auf einem Auge blind, manchmal auch auf 2 Die lokale Richtlinie graut manchmal Dinge aus, wenn eine Domänen GPO was vorschreibt, aber längst nicht immer. Normales Verhalten.
. Nur ein Anzeigeproblem, angewendet wird es trotzdem ...
1
Müsste man nicht mit secedit die aktuell geltenden Einstellungen exportiert bekommen?
Wenn ich das exportiere mit
nicht enthalten.
In der Datei "GptTmpl.inf" der "Default Domain Controllers Policy" ist die Zeile enthalten:
In der mit secedit erzeugten INF jedoch nichts dergleichen.
Mist! Gilt diese Einstellung nun oder nicht?
Wir kann man das sicher verifizieren? Einfach auf den vorhandenen Registry-Wert verlassen?
secedit /export /mergedpolicy /cfg c:\temp\temp.inf
dann ist in der erzeugten INF die Zeile aus der GPO In der Datei "GptTmpl.inf" der "Default Domain Controllers Policy" ist die Zeile enthalten:
[Registry Values]
MACHINE\System\CurrentControlSet\Control\SAM\ComputerAccountReuseAllowList=1,"O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-51044)" Mist! Gilt diese Einstellung nun oder nicht?
Wir kann man das sicher verifizieren? Einfach auf den vorhandenen Registry-Wert verlassen?
Wir kann man das sicher verifizieren? Einfach auf den vorhandenen Registry-Wert verlassen?
Ja.Gilt diese Einstellung nun oder nicht?
Ja.1
Nee.
Einfach nur Feierabend machen ...
Ich habe auf dem falschen Computer exportiert.
Der DC meldet mir in der INF dann den korrekten Wert.
Ich gehe jetzt spielen ...
Einfach nur Feierabend machen ...
Ich habe auf dem falschen Computer exportiert.
Der DC meldet mir in der INF dann den korrekten Wert.
Ich gehe jetzt spielen ...
Funktioniert diese GPO bei dir auch?
Bei mir nämlich nicht.
Bei mir nämlich nicht.
