Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst GPO Dateirechte greift nicht

Mitglied: nic7575

nic7575 (Level 1) - Jetzt verbinden

10.02.2010, aktualisiert 11.02.2010, 7803 Aufrufe, 13 Kommentare

Folgende Ausgangsstellung:

DC Win2008R2 in Domäne mit XP-Clients
Benutzer sind in einer OU "Firma" Computer in einer OU "Workstations"

Wir haben einige Programme die Schreibrechte in Verzeichnissen brauchen.

Das Verzeichnis ist z.B. c:\test

Wir haben nun eine Gruppenrichtlinie erstellt:

Computerconfiguration->Windowseinstellungen->Sicherheitseinstellungen->Dateisystem

Dort neuer Eintrag c:\test und Domänenbenutzer mit Lese-/Schreibrechten ausgestattet
-> vorhandene Berechtigungen für alle Unterordner und ..... ersetzen

Diese GPO ist verknüpft mit dem Stamm der Domöne also firma.local

Die Vererbung ist weder auf der OU Workstations noch auf OU Firma deaktiviert.

Teilweise existiert der Ordner auf der Arbeitsstation schon teilweise nicht. Wenn wir nun den Ordner test anlegen und ein gpupdate /force machen ändert sich auch nach Neustart nix. Die Rechte werden nicht verändert.

Sowohl gpresult als auch rsop.msc sagen die Richtlinie wurde angewendet.

Wir sind etwas ratlos warum die Rechte nicht gesetzt werden. Die Workstations sind komplett durchgepatcht via WSUS.

Hat da jemand ne Idee oder Ansätze ?
Mitglied: wannabe
10.02.2010 um 18:45 Uhr
Nur so als Idee:

Auf ner W2k3 Domäne hab ich sowas auch im Einsatz, läuft tadellos. Da Windows Variablen mag, würd ich die auch nutzen -> damit klappts nämlich bei mir.
So denke ich, dass du die Berechtigung für "%SystemDrive%\temp" vergeben möchtest.
Bitte warten ..
Mitglied: nic7575
10.02.2010 um 19:07 Uhr
Danke aber das ersetzt er automatisch...also bei mir steht in der GPO %SystemDrive%\test...
Bitte warten ..
Mitglied: wannabe
10.02.2010 um 19:15 Uhr
Nett

Hast du auch bei den Sicherheitseinstellungen in der Gruppenrichtlinie die Vererbung übergeordneter Berechtigungen für den Ordner deaktiviert?
Also bei "Sicherheit bearbeiten" - "Erweitert".
Bitte warten ..
Mitglied: nic7575
10.02.2010 um 19:22 Uhr
Hatte ich nicht beachtet...nachgeschaut ist aber per Default abgewählt.. !
Bitte warten ..
Mitglied: nic7575
10.02.2010 um 21:05 Uhr
Jetzt ist ein GPO-Experte gefragt.....
Bitte warten ..
Mitglied: DerWoWusste
11.02.2010 um 00:22 Uhr
Hi.
Es sollte so klappen. Hab's schnell mit einem 2008er und xp nachgestellt.
Starte procmon auf dem Client und filtere während Du gpupdate /force /target:computer auf dem Client machst nach process name: services.exe und Pfad c:\test. Du solltest einen Versuch sehen, die Sicherheit zu verändern, also Operation: SetSecurityFile
Bitte warten ..
Mitglied: nic7575
11.02.2010 um 18:16 Uhr
Habe ich gemacht.....ich sehe allerdings keinen Versuch.
Muss man noch etwas anderes einstellen/beachten ?
Bitte warten ..
Mitglied: DerWoWusste
11.02.2010 um 18:51 Uhr
Seltsam. Nee, es fehlt nichts.
Nimm einen weiteren, schon vorhandenen Ordner und teste erneut.
Bitte warten ..
Mitglied: nic7575
11.02.2010 um 19:04 Uhr
Habe schon eine weitere Gruppenrichtlinie mit einem Ordner c:\test2 erstellt. Auch sie wird laut gpresult angewendet, passieren tut aber nix.
Bitte warten ..
Mitglied: DerWoWusste
11.02.2010 um 21:31 Uhr
Kriegen wir schon noch.
Öffne mal \\DeinDC\SYSVOL\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
(wobei 31B2F340-016D-11D2-945F-00C04FB984F9 die ID Deiner Policy sein muss, hier: default policy)

Dort steht bei mir unter anderem:
[File Security]
"%SystemDrive%\test",2,"D:PAR(A;OICIIO;FA;;;CO)(A;OICI;FA;;;SY)(A;OICI;0x1200a9;;;DU)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;S-1-5-21-2649727851-2174783705-3715056715-1106)(A;OICI;0x1200a9;;;BU)"
(ich hab den Domänenbenutzern Leserechte gewährt)

Was steht bei Dir unter [File Security]?
Bitte warten ..
Mitglied: nic7575
12.02.2010 um 08:21 Uhr
Bei mir steht in der GptTmpl.inf:
[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%SystemDrive%\test",0,"D:PAR(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;BU)(A;OICI;0x1301bf;;;DU)(A;OICIIO;FA;;;CO)(A;OICI;FA;;;SY)"

Ziemlich cryptisch.
Bitte warten ..
Mitglied: nic7575
12.02.2010 um 08:46 Uhr
Ich bin der Sache aufgrund Deiner Antwort gerade etwas näher gekommen. In meiner Tmpl.inf war ist ja nun keine BenutzerID zu finden, ich habe in der Sicherheitsfilterung nun aber auch nur "Authentifizierte Benutzer" drinstehen. Sobald ich nun z.B. "Jeder" dort hinzufüge klappt es plötzlich !!

Ich habe aber bei anderen GPOs, z.B. Firewallausnahmen, Laufwerksverknüpfungen, auch nur Authentifizierte Benutzer" drinstehen und das geht so auch prima. Muß man bei solchen GPOs speziell die Gruppe in der Sicherheitsfilterung angeben ?

EDIT: Also ich habe es jetzt hi und her getestet es geht einwandfrei.

Ich verstehe allerdings immer noch nicht warum ich bei einigen GPO's nur die "Authentifizierte Benutzer" in der Sicherheitsfilterung drinstehen haben muß und bei anderen das nicht klappt.....
Bitte warten ..
Mitglied: DerWoWusste
12.02.2010 um 11:41 Uhr
Bei mir geht es ohne "jeder" - keine Ahnung, sollte ohne gehen.
Bitte warten ..
Ähnliche Inhalte
Windows Server
GPO greift nicht
gelöst Frage von 118080Windows Server20 Kommentare

Moin Leute :) ich bin nach längerem auch wieder mal hier. Und zwar hab ich folgendes Problem: Ich habe ...

Windows Server
GPO auf User-OU greift nicht
gelöst Frage von eastfrisianWindows Server2 Kommentare

hey, bräuchte mal kurz eine Hilfestellung. wahrscheinlich bin ich irgendwo auf dem Holzweg, aber ich komme einfach nicht drauf. ...

Windows Userverwaltung
GPO greift erst bei 2x Neustart
Frage von kaineanungWindows Userverwaltung2 Kommentare

Hallo Leute, ich habe hier ein kleines Problem: Ich habe in meiner Testumgebung 2 GPOs erstellt wobei jede GPO ...

Windows Server
GPO greift nicht bei jedem User
gelöst Frage von LockjawWindows Server2 Kommentare

Hallo, ich habe gerade das Problem, dass verlinkte Bilder, die bestimmte Windows-Explorer öffnen sollen, nicht so funktionieren wie sie ...

Neue Wissensbeiträge
Hyper-V
Setup VM W2016 startet nicht in Hyper-V 2016
Erfahrungsbericht von keine-ahnung vor 1 TagHyper-V4 Kommentare

Moin, sitze gerade über meinem neuen Server und versuche, die VM auf den Host zu prügeln. Jetzt wollte ich ...

Server-Hardware

HPE Proliant ML350P Gen8 Probleme mit Zugriff auf Raid-Volumes

Erfahrungsbericht von goscho vor 1 TagServer-Hardware1 Kommentar

Hallo Leute, das Problemgerät: HPE ML350P G8 Windows Server 2012R2 HyperV-Host 8 x 300 GB 10K SAS HDD (1 ...

Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Information von Snowbird vor 3 TagenHumor (lol)8 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Linux

"Warum Linux in einer vernetzten Welt einfach keinen Komfort bietet!"

Tipp von Snowbird vor 3 TagenLinux13 Kommentare

Ein interessanter Einblick warum Linux nichts für Geräteübergreifende Arbeit ist :)

Heiß diskutierte Inhalte
Microsoft
Windows 10 - Kombination von lokalen Benutzerkonten und Benutzern aus einer Domäne
Frage von PappnaseVxVVMicrosoft21 Kommentare

Hi, würde gerne folgendes realisieren, von dem ich gern wüsste, ob es geht. Ich habe einen Raum mit 3 ...

Grafikkarten & Monitore
Grafikkarten Angebot auf Amazon
gelöst Frage von NudellordGrafikkarten & Monitore21 Kommentare

Hallo Community, ich suche eine neue Grafikkarte und bin auf die Nvidea Gforce GTX 1080 ti gestoßen. Und dabei ...

Hyper-V
Keine Netzwerkverbindung W2016 VM
gelöst Frage von keine-ahnungHyper-V19 Kommentare

Moin, ich verliere gleich meine contenance ;-). Ich versuche gerade, auf einem Hyper-V 2016 GUI eine W2016-VM (Generation 2 ...

Batch & Shell
Powershell - Webseite auslesen und Abspeichern ein paar Probleme
gelöst Frage von kime203Batch & Shell18 Kommentare

Hallo alle miteinander, ich hab die Aufgabe eine Webseite auszulesen um Einsatzdaten der Feuerwehr daraus zu gewinnen. Das habe ...