nic7575
Goto Top

GPO Dateirechte greift nicht

Folgende Ausgangsstellung:

DC Win2008R2 in Domäne mit XP-Clients
Benutzer sind in einer OU "Firma" Computer in einer OU "Workstations"

Wir haben einige Programme die Schreibrechte in Verzeichnissen brauchen.

Das Verzeichnis ist z.B. c:\test

Wir haben nun eine Gruppenrichtlinie erstellt:

Computerconfiguration->Windowseinstellungen->Sicherheitseinstellungen->Dateisystem

Dort neuer Eintrag c:\test und Domänenbenutzer mit Lese-/Schreibrechten ausgestattet
-> vorhandene Berechtigungen für alle Unterordner und ..... ersetzen

Diese GPO ist verknüpft mit dem Stamm der Domöne also firma.local

Die Vererbung ist weder auf der OU Workstations noch auf OU Firma deaktiviert.

Teilweise existiert der Ordner auf der Arbeitsstation schon teilweise nicht. Wenn wir nun den Ordner test anlegen und ein gpupdate /force machen ändert sich auch nach Neustart nix. Die Rechte werden nicht verändert.

Sowohl gpresult als auch rsop.msc sagen die Richtlinie wurde angewendet.

Wir sind etwas ratlos warum die Rechte nicht gesetzt werden. Die Workstations sind komplett durchgepatcht via WSUS.

Hat da jemand ne Idee oder Ansätze ?

Content-ID: 135672

Url: https://administrator.de/forum/gpo-dateirechte-greift-nicht-135672.html

Ausgedruckt am: 24.12.2024 um 12:12 Uhr

wannabe
wannabe 10.02.2010 um 18:45:49 Uhr
Goto Top
Nur so als Idee:

Auf ner W2k3 Domäne hab ich sowas auch im Einsatz, läuft tadellos. Da Windows Variablen mag, würd ich die auch nutzen -> damit klappts nämlich bei mir.
So denke ich, dass du die Berechtigung für "%SystemDrive%\temp" vergeben möchtest.
nic7575
nic7575 10.02.2010 um 19:07:27 Uhr
Goto Top
Danke aber das ersetzt er automatisch...also bei mir steht in der GPO %SystemDrive%\test...
wannabe
wannabe 10.02.2010 um 19:15:39 Uhr
Goto Top
Nett face-smile

Hast du auch bei den Sicherheitseinstellungen in der Gruppenrichtlinie die Vererbung übergeordneter Berechtigungen für den Ordner deaktiviert?
Also bei "Sicherheit bearbeiten" - "Erweitert".
nic7575
nic7575 10.02.2010 um 19:22:16 Uhr
Goto Top
Hatte ich nicht beachtet...nachgeschaut ist aber per Default abgewählt.. !
nic7575
nic7575 10.02.2010 um 21:05:26 Uhr
Goto Top
Jetzt ist ein GPO-Experte gefragt.....
DerWoWusste
DerWoWusste 11.02.2010 um 00:22:30 Uhr
Goto Top
Hi.
Es sollte so klappen. Hab's schnell mit einem 2008er und xp nachgestellt.
Starte procmon auf dem Client und filtere während Du gpupdate /force /target:computer auf dem Client machst nach process name: services.exe und Pfad c:\test. Du solltest einen Versuch sehen, die Sicherheit zu verändern, also Operation: SetSecurityFile
nic7575
nic7575 11.02.2010 um 18:16:55 Uhr
Goto Top
Habe ich gemacht.....ich sehe allerdings keinen Versuch.
Muss man noch etwas anderes einstellen/beachten ?
DerWoWusste
DerWoWusste 11.02.2010 um 18:51:07 Uhr
Goto Top
Seltsam. Nee, es fehlt nichts.
Nimm einen weiteren, schon vorhandenen Ordner und teste erneut.
nic7575
nic7575 11.02.2010 um 19:04:45 Uhr
Goto Top
Habe schon eine weitere Gruppenrichtlinie mit einem Ordner c:\test2 erstellt. Auch sie wird laut gpresult angewendet, passieren tut aber nix.
DerWoWusste
DerWoWusste 11.02.2010 um 21:31:58 Uhr
Goto Top
Kriegen wir schon noch.
Öffne mal \\DeinDC\SYSVOL\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
(wobei 31B2F340-016D-11D2-945F-00C04FB984F9 die ID Deiner Policy sein muss, hier: default policy)

Dort steht bei mir unter anderem:
[File Security]
"%SystemDrive%\test",2,"D:PAR(A;OICIIO;FA;;;CO)(A;OICI;FA;;;SY)(A;OICI;0x1200a9;;;DU)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;S-1-5-21-2649727851-2174783705-3715056715-1106)(A;OICI;0x1200a9;;;BU)"
(ich hab den Domänenbenutzern Leserechte gewährt)

Was steht bei Dir unter [File Security]?
nic7575
nic7575 12.02.2010 um 08:21:43 Uhr
Goto Top
Bei mir steht in der GptTmpl.inf:
[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%SystemDrive%\test",0,"D:PAR(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;BU)(A;OICI;0x1301bf;;;DU)(A;OICIIO;FA;;;CO)(A;OICI;FA;;;SY)"

Ziemlich cryptisch.
nic7575
nic7575 12.02.2010 um 08:46:00 Uhr
Goto Top
Ich bin der Sache aufgrund Deiner Antwort gerade etwas näher gekommen. In meiner Tmpl.inf war ist ja nun keine BenutzerID zu finden, ich habe in der Sicherheitsfilterung nun aber auch nur "Authentifizierte Benutzer" drinstehen. Sobald ich nun z.B. "Jeder" dort hinzufüge klappt es plötzlich !!

Ich habe aber bei anderen GPOs, z.B. Firewallausnahmen, Laufwerksverknüpfungen, auch nur Authentifizierte Benutzer" drinstehen und das geht so auch prima. Muß man bei solchen GPOs speziell die Gruppe in der Sicherheitsfilterung angeben ?

EDIT: Also ich habe es jetzt hi und her getestet es geht einwandfrei.

Ich verstehe allerdings immer noch nicht warum ich bei einigen GPO's nur die "Authentifizierte Benutzer" in der Sicherheitsfilterung drinstehen haben muß und bei anderen das nicht klappt.....
DerWoWusste
DerWoWusste 12.02.2010 um 11:41:36 Uhr
Goto Top
Bei mir geht es ohne "jeder" - keine Ahnung, sollte ohne gehen.