Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst GPO Dateirechte greift nicht

Mitglied: nic7575

nic7575 (Level 1) - Jetzt verbinden

10.02.2010, aktualisiert 11.02.2010, 7926 Aufrufe, 13 Kommentare

Folgende Ausgangsstellung:

DC Win2008R2 in Domäne mit XP-Clients
Benutzer sind in einer OU "Firma" Computer in einer OU "Workstations"

Wir haben einige Programme die Schreibrechte in Verzeichnissen brauchen.

Das Verzeichnis ist z.B. c:\test

Wir haben nun eine Gruppenrichtlinie erstellt:

Computerconfiguration->Windowseinstellungen->Sicherheitseinstellungen->Dateisystem

Dort neuer Eintrag c:\test und Domänenbenutzer mit Lese-/Schreibrechten ausgestattet
-> vorhandene Berechtigungen für alle Unterordner und ..... ersetzen

Diese GPO ist verknüpft mit dem Stamm der Domöne also firma.local

Die Vererbung ist weder auf der OU Workstations noch auf OU Firma deaktiviert.

Teilweise existiert der Ordner auf der Arbeitsstation schon teilweise nicht. Wenn wir nun den Ordner test anlegen und ein gpupdate /force machen ändert sich auch nach Neustart nix. Die Rechte werden nicht verändert.

Sowohl gpresult als auch rsop.msc sagen die Richtlinie wurde angewendet.

Wir sind etwas ratlos warum die Rechte nicht gesetzt werden. Die Workstations sind komplett durchgepatcht via WSUS.

Hat da jemand ne Idee oder Ansätze ?
Mitglied: wannabe
10.02.2010 um 18:45 Uhr
Nur so als Idee:

Auf ner W2k3 Domäne hab ich sowas auch im Einsatz, läuft tadellos. Da Windows Variablen mag, würd ich die auch nutzen -> damit klappts nämlich bei mir.
So denke ich, dass du die Berechtigung für "%SystemDrive%\temp" vergeben möchtest.
Bitte warten ..
Mitglied: nic7575
10.02.2010 um 19:07 Uhr
Danke aber das ersetzt er automatisch...also bei mir steht in der GPO %SystemDrive%\test...
Bitte warten ..
Mitglied: wannabe
10.02.2010 um 19:15 Uhr
Nett

Hast du auch bei den Sicherheitseinstellungen in der Gruppenrichtlinie die Vererbung übergeordneter Berechtigungen für den Ordner deaktiviert?
Also bei "Sicherheit bearbeiten" - "Erweitert".
Bitte warten ..
Mitglied: nic7575
10.02.2010 um 19:22 Uhr
Hatte ich nicht beachtet...nachgeschaut ist aber per Default abgewählt.. !
Bitte warten ..
Mitglied: nic7575
10.02.2010 um 21:05 Uhr
Jetzt ist ein GPO-Experte gefragt.....
Bitte warten ..
Mitglied: DerWoWusste
11.02.2010 um 00:22 Uhr
Hi.
Es sollte so klappen. Hab's schnell mit einem 2008er und xp nachgestellt.
Starte procmon auf dem Client und filtere während Du gpupdate /force /target:computer auf dem Client machst nach process name: services.exe und Pfad c:\test. Du solltest einen Versuch sehen, die Sicherheit zu verändern, also Operation: SetSecurityFile
Bitte warten ..
Mitglied: nic7575
11.02.2010 um 18:16 Uhr
Habe ich gemacht.....ich sehe allerdings keinen Versuch.
Muss man noch etwas anderes einstellen/beachten ?
Bitte warten ..
Mitglied: DerWoWusste
11.02.2010 um 18:51 Uhr
Seltsam. Nee, es fehlt nichts.
Nimm einen weiteren, schon vorhandenen Ordner und teste erneut.
Bitte warten ..
Mitglied: nic7575
11.02.2010 um 19:04 Uhr
Habe schon eine weitere Gruppenrichtlinie mit einem Ordner c:\test2 erstellt. Auch sie wird laut gpresult angewendet, passieren tut aber nix.
Bitte warten ..
Mitglied: DerWoWusste
11.02.2010 um 21:31 Uhr
Kriegen wir schon noch.
Öffne mal \\DeinDC\SYSVOL\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
(wobei 31B2F340-016D-11D2-945F-00C04FB984F9 die ID Deiner Policy sein muss, hier: default policy)

Dort steht bei mir unter anderem:
[File Security]
"%SystemDrive%\test",2,"D:PAR(A;OICIIO;FA;;;CO)(A;OICI;FA;;;SY)(A;OICI;0x1200a9;;;DU)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;S-1-5-21-2649727851-2174783705-3715056715-1106)(A;OICI;0x1200a9;;;BU)"
(ich hab den Domänenbenutzern Leserechte gewährt)

Was steht bei Dir unter [File Security]?
Bitte warten ..
Mitglied: nic7575
12.02.2010 um 08:21 Uhr
Bei mir steht in der GptTmpl.inf:
[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%SystemDrive%\test",0,"D:PAR(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;BU)(A;OICI;0x1301bf;;;DU)(A;OICIIO;FA;;;CO)(A;OICI;FA;;;SY)"

Ziemlich cryptisch.
Bitte warten ..
Mitglied: nic7575
12.02.2010 um 08:46 Uhr
Ich bin der Sache aufgrund Deiner Antwort gerade etwas näher gekommen. In meiner Tmpl.inf war ist ja nun keine BenutzerID zu finden, ich habe in der Sicherheitsfilterung nun aber auch nur "Authentifizierte Benutzer" drinstehen. Sobald ich nun z.B. "Jeder" dort hinzufüge klappt es plötzlich !!

Ich habe aber bei anderen GPOs, z.B. Firewallausnahmen, Laufwerksverknüpfungen, auch nur Authentifizierte Benutzer" drinstehen und das geht so auch prima. Muß man bei solchen GPOs speziell die Gruppe in der Sicherheitsfilterung angeben ?

EDIT: Also ich habe es jetzt hi und her getestet es geht einwandfrei.

Ich verstehe allerdings immer noch nicht warum ich bei einigen GPO's nur die "Authentifizierte Benutzer" in der Sicherheitsfilterung drinstehen haben muß und bei anderen das nicht klappt.....
Bitte warten ..
Mitglied: DerWoWusste
12.02.2010 um 11:41 Uhr
Bei mir geht es ohne "jeder" - keine Ahnung, sollte ohne gehen.
Bitte warten ..
Ähnliche Inhalte
Windows Server
GPO WMI Filter greift nicht
Frage von MoboterWindows Server1 Kommentar

Erst einmal ein freundliches Moin in die Runde Folgender Sachverhat ich habe eine Gruppenrichtlinie erstellt die den Zugriff auf ...

Windows Server
GPO auf User-OU greift nicht
gelöst Frage von eastfrisianWindows Server2 Kommentare

hey, bräuchte mal kurz eine Hilfestellung. wahrscheinlich bin ich irgendwo auf dem Holzweg, aber ich komme einfach nicht drauf. ...

Windows Server
GPO greift auf unterer OU nicht
gelöst Frage von MissJonesWindows Server7 Kommentare

Hallo ihr Lieben, ich habe mich gerade mal hier angemeldet, da ich trotz der vorhandenen Beiträge nicht weiterkomme. Momentan ...

Windows Userverwaltung
GPO greift erst bei 2x Neustart
Frage von kaineanungWindows Userverwaltung2 Kommentare

Hallo Leute, ich habe hier ein kleines Problem: Ich habe in meiner Testumgebung 2 GPOs erstellt wobei jede GPO ...

Neue Wissensbeiträge
Sicherheit

Eine ungepatchte Sicherheitslücke in der Windows Druckerwarteschlange ermöglicht das Ausführen von Malware mit Adminrechten

Information von transocean vor 1 TagSicherheit

Moin, eigentlich sollte die Sicherheitslücke schon seit Mai 2020 geschlossen sein. Aber lest selbst. Grüße Uwe

Erkennung und -Abwehr

Liste ungeschützter Pulse-VPN-Server veröffentlicht

Information von Visucius vor 3 TagenErkennung und -Abwehr

bzw. Der tiefe Blick in die Profi-Administratoren-Welt ;-)

Windows 10

Windows Defender verhindert Telemetrieblocking via hosts-Datei

Information von BirdyB vor 3 TagenWindows 102 Kommentare

Für diejenigen, die keine Daten an MS senden wollten, war die hosts-Datei manchmal eine Option.

Monitoring

Unabhängiger Ansatz - IoT (frei von Cloud- oder Appzwang) - Hier mit Schaltsteckdosen

Anleitung von beidermachtvongreyscull vor 6 TagenMonitoring2 Kommentare

Tach Kollegen, ich erzähle Euch mal von meiner Ausgangslage und den/m Problem(chen) Ich benutze ein NAS zur Lagerung meiner ...

Heiß diskutierte Inhalte
Windows Server
GPO Programme an User verteilen
Frage von ILeonardWindows Server13 Kommentare

Hallo, ich möchte über GPO Programme an User verteilen allerdings funktioniert das nicht, um gleich ein paar Dinge zu ...

CPU, RAM, Mainboards
LED Lüfter und LED LEiste dunkel beim einloggen
Frage von uridium69CPU, RAM, Mainboards12 Kommentare

Moin Ich habe einen PC mit einem ASUS RGB tauglichen Board, dort habe ich einerseits einen CPU Lüfter mit ...

Batch & Shell
Dateinamen vorne abschneiden
Frage von JoeKnapeBatch & Shell8 Kommentare

wer kann mir helfen ich habe auf einem synology NAS ein script, was mir alle möglichen dateitypen in einem ...

Batch & Shell
Mit Powershell zwei Prozesse mit gleichem Prozessname und unterschiedlichen Parameter überprüfen und ggf. erneut starten
Frage von DarkFireBatch & Shell6 Kommentare

Hallo Zusammen, ich versuche seit Stunden zwei Prozesse mit gleichem Prozessname, gleichen Verzeichnis in WIn10 mittles Powershell zu überprüfen ...

Weniger Werbung?
Administrator Magazin
07 | 2020 In der Juli-Ausgabe beleuchtet das IT-Administrator Magazin den Themenschwerpunkt "Monitoring & Support". Darin zeigt die Redaktion unter anderem, wie Sie die Leistung von Terminalservern im Blick behalten und welche Neuerungen das Ticketsystem OTRS 8 mitbringt. Auch die Überwachung von USV-Anlagen darf nicht fehlen. In ...