8
Domänencontroller: Wiederverwendung von Computerkonten bei Domänenbeitritten zul
Hi,
ich habe hier ein komisches Verhalten im AD.
Ich versuche die Sicherheitsoption
Dazu habe ich diese Option in der "Default Domain Controllers Policy" festgelegt.
Die DC's wenden diese Richtlinie auch an, laut RSOP auch diese Sicherheitsoption mit dem gewünschten Wert.
Aber wenn man dann am DC (egal welcher) in die "Lokale Sicherheitsrichtlinie" reinschaut, dann ist das Feld dort leer. (siehe Screenshot)
"Neu laden", MMC neu starten, "gpupdate /force" - alles schon gemacht.
Hat jemand ne Idee, was da los sein könnte?
E.
ich habe hier ein komisches Verhalten im AD.
Ich versuche die Sicherheitsoption
Domänencontroller: Wiederverwendung von Computerkonten bei Domänenbeitritten zulassen
auf Domänencontrollern per GPO zu setzen.Dazu habe ich diese Option in der "Default Domain Controllers Policy" festgelegt.
Die DC's wenden diese Richtlinie auch an, laut RSOP auch diese Sicherheitsoption mit dem gewünschten Wert.
Aber wenn man dann am DC (egal welcher) in die "Lokale Sicherheitsrichtlinie" reinschaut, dann ist das Feld dort leer. (siehe Screenshot)
"Neu laden", MMC neu starten, "gpupdate /force" - alles schon gemacht.
Hat jemand ne Idee, was da los sein könnte?
E.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-ID: 668199
Url: https://administrator.de/contentid/668199
Printed on: September 17, 2024 at 17:09 o'clock
8 Comments
Latest comment
Der entsprechende Registry-Wert kommt auch an ...
Die lokale Richtlinie graut manchmal Dinge aus, wenn eine Domänen GPO was vorschreibt, aber längst nicht immer. Normales Verhalten.
Danke, DWW.
Habe gerade in einer anderen Domäne getestet: It's a feature!
Wenn man auf einem DC manuell diesen Wert setzt, dann landet das dort auch in der Registry.
Startet man nanschließend die MMC neu, wird wieder angezeigt "nicht definiert". Na klasse ...
Habe gerade in einer anderen Domäne getestet: It's a feature!
Wenn man auf einem DC manuell diesen Wert setzt, dann landet das dort auch in der Registry.
Startet man nanschließend die MMC neu, wird wieder angezeigt "nicht definiert". Na klasse ...
Zitat von @DerWoWusste:
Die lokale Richtlinie graut manchmal Dinge aus, wenn eine Domänen GPO was vorschreibt, aber längst nicht immer. Normales Verhalten.
Dito gleiches Verhalten auch hier. Die lokale MMC ist auf einem Auge blind, manchmal auch auf 2 Die lokale Richtlinie graut manchmal Dinge aus, wenn eine Domänen GPO was vorschreibt, aber längst nicht immer. Normales Verhalten.
. Nur ein Anzeigeproblem, angewendet wird es trotzdem ...
Müsste man nicht mit secedit die aktuell geltenden Einstellungen exportiert bekommen?
Wenn ich das exportiere mit
nicht enthalten.
In der Datei "GptTmpl.inf" der "Default Domain Controllers Policy" ist die Zeile enthalten:
In der mit secedit erzeugten INF jedoch nichts dergleichen.
Mist! Gilt diese Einstellung nun oder nicht?
Wir kann man das sicher verifizieren? Einfach auf den vorhandenen Registry-Wert verlassen?
secedit /export /mergedpolicy /cfg c:\temp\temp.inf
dann ist in der erzeugten INF die Zeile aus der GPO In der Datei "GptTmpl.inf" der "Default Domain Controllers Policy" ist die Zeile enthalten:
[Registry Values]
MACHINE\System\CurrentControlSet\Control\SAM\ComputerAccountReuseAllowList=1,"O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-51044)" Mist! Gilt diese Einstellung nun oder nicht?
Wir kann man das sicher verifizieren? Einfach auf den vorhandenen Registry-Wert verlassen?
Wir kann man das sicher verifizieren? Einfach auf den vorhandenen Registry-Wert verlassen?
Ja.Gilt diese Einstellung nun oder nicht?
Ja.
Nee.
Einfach nur Feierabend machen ...
Ich habe auf dem falschen Computer exportiert.
Der DC meldet mir in der INF dann den korrekten Wert.
Ich gehe jetzt spielen ...
Einfach nur Feierabend machen ...
Ich habe auf dem falschen Computer exportiert.
Der DC meldet mir in der INF dann den korrekten Wert.
Ich gehe jetzt spielen ...