GPO Dateirechte greift nicht
Folgende Ausgangsstellung:
DC Win2008R2 in Domäne mit XP-Clients
Benutzer sind in einer OU "Firma" Computer in einer OU "Workstations"
Wir haben einige Programme die Schreibrechte in Verzeichnissen brauchen.
Das Verzeichnis ist z.B. c:\test
Wir haben nun eine Gruppenrichtlinie erstellt:
Computerconfiguration->Windowseinstellungen->Sicherheitseinstellungen->Dateisystem
Dort neuer Eintrag c:\test und Domänenbenutzer mit Lese-/Schreibrechten ausgestattet
-> vorhandene Berechtigungen für alle Unterordner und ..... ersetzen
Diese GPO ist verknüpft mit dem Stamm der Domöne also firma.local
Die Vererbung ist weder auf der OU Workstations noch auf OU Firma deaktiviert.
Teilweise existiert der Ordner auf der Arbeitsstation schon teilweise nicht. Wenn wir nun den Ordner test anlegen und ein gpupdate /force machen ändert sich auch nach Neustart nix. Die Rechte werden nicht verändert.
Sowohl gpresult als auch rsop.msc sagen die Richtlinie wurde angewendet.
Wir sind etwas ratlos warum die Rechte nicht gesetzt werden. Die Workstations sind komplett durchgepatcht via WSUS.
Hat da jemand ne Idee oder Ansätze ?
DC Win2008R2 in Domäne mit XP-Clients
Benutzer sind in einer OU "Firma" Computer in einer OU "Workstations"
Wir haben einige Programme die Schreibrechte in Verzeichnissen brauchen.
Das Verzeichnis ist z.B. c:\test
Wir haben nun eine Gruppenrichtlinie erstellt:
Computerconfiguration->Windowseinstellungen->Sicherheitseinstellungen->Dateisystem
Dort neuer Eintrag c:\test und Domänenbenutzer mit Lese-/Schreibrechten ausgestattet
-> vorhandene Berechtigungen für alle Unterordner und ..... ersetzen
Diese GPO ist verknüpft mit dem Stamm der Domöne also firma.local
Die Vererbung ist weder auf der OU Workstations noch auf OU Firma deaktiviert.
Teilweise existiert der Ordner auf der Arbeitsstation schon teilweise nicht. Wenn wir nun den Ordner test anlegen und ein gpupdate /force machen ändert sich auch nach Neustart nix. Die Rechte werden nicht verändert.
Sowohl gpresult als auch rsop.msc sagen die Richtlinie wurde angewendet.
Wir sind etwas ratlos warum die Rechte nicht gesetzt werden. Die Workstations sind komplett durchgepatcht via WSUS.
Hat da jemand ne Idee oder Ansätze ?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 135672
Url: https://administrator.de/contentid/135672
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
13 Kommentare
Neuester Kommentar
Hi.
Es sollte so klappen. Hab's schnell mit einem 2008er und xp nachgestellt.
Starte procmon auf dem Client und filtere während Du gpupdate /force /target:computer auf dem Client machst nach process name: services.exe und Pfad c:\test. Du solltest einen Versuch sehen, die Sicherheit zu verändern, also Operation: SetSecurityFile
Es sollte so klappen. Hab's schnell mit einem 2008er und xp nachgestellt.
Starte procmon auf dem Client und filtere während Du gpupdate /force /target:computer auf dem Client machst nach process name: services.exe und Pfad c:\test. Du solltest einen Versuch sehen, die Sicherheit zu verändern, also Operation: SetSecurityFile
Kriegen wir schon noch.
Öffne mal \\DeinDC\SYSVOL\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
(wobei 31B2F340-016D-11D2-945F-00C04FB984F9 die ID Deiner Policy sein muss, hier: default policy)
Dort steht bei mir unter anderem:
[File Security]
"%SystemDrive%\test",2,"D:PAR(A;OICIIO;FA;;;CO)(A;OICI;FA;;;SY)(A;OICI;0x1200a9;;;DU)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;S-1-5-21-2649727851-2174783705-3715056715-1106)(A;OICI;0x1200a9;;;BU)"
(ich hab den Domänenbenutzern Leserechte gewährt)
Was steht bei Dir unter [File Security]?
Öffne mal \\DeinDC\SYSVOL\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
(wobei 31B2F340-016D-11D2-945F-00C04FB984F9 die ID Deiner Policy sein muss, hier: default policy)
Dort steht bei mir unter anderem:
[File Security]
"%SystemDrive%\test",2,"D:PAR(A;OICIIO;FA;;;CO)(A;OICI;FA;;;SY)(A;OICI;0x1200a9;;;DU)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;S-1-5-21-2649727851-2174783705-3715056715-1106)(A;OICI;0x1200a9;;;BU)"
(ich hab den Domänenbenutzern Leserechte gewährt)
Was steht bei Dir unter [File Security]?