GPO - Filterung: Verweigert (Sicherheit)
Ich habe folgendes Problem bei der Anwendung von GPOs.
Ich wollte eine GPO für die Konfiguration der Firewall (Remotedesktop) erzeugen, um das aber als Fehlerbild auszuschließen habe ich auch eine noch einfachere GPO erzeugt in der ich die "Äußerst detaillierte Statusmeldung anzeigen" aktiviert habe.
Nun verhält es sich so, dass die GPO auf einem MS Server 2022 übernommen wird aber bei 2019 und 2016 Filterung: Verweigert (Sicherheit) steht (wenn ich gpresult befrage).
Zu der Config
Was übersehe ich?
Ich wollte eine GPO für die Konfiguration der Firewall (Remotedesktop) erzeugen, um das aber als Fehlerbild auszuschließen habe ich auch eine noch einfachere GPO erzeugt in der ich die "Äußerst detaillierte Statusmeldung anzeigen" aktiviert habe.
Nun verhält es sich so, dass die GPO auf einem MS Server 2022 übernommen wird aber bei 2019 und 2016 Filterung: Verweigert (Sicherheit) steht (wenn ich gpresult befrage).
Zu der Config
- Server sind in der gleichen OU
- Server sind in der gleichen Gruppe die für die Sicherheitsfilterung benutzt wird
- unter Delegierung habe ich den Domänen-Computer die Lese-Rechte gegeben
- Authentifizier Benutzer wurde bei Sicherheitsfilterung entfernt (deswegen ja auch der Punkt darüber)
- kein Loopback an
- keine GPO die an den Punkten vorher was ändert
Was übersehe ich?
Please also mark the comments that contributed to the solution of the article
Content-Key: 11200784690
Url: https://administrator.de/contentid/11200784690
Printed on: July 26, 2024 at 14:07 o'clock
8 Comments
Latest comment
Man übersieht dieses Recht leicht, weil es automatisch gesetzt wird, wenn man die Sicherheitsfilterung (auf dem ersten Tab) einrichtet, d.h. von Authentifizierte Benutzer auf eine Sicherheitsgruppe ändert. Das Problem ist dann eher umgekehrt, dass dann nur diese Gruppe Lesen- & Anwenden-Rechte hat, und alle anderen nicht mal Lese-Rechte, was oft unerwünscht ist.
Das Resultat dieser Automatik über die Sicherheitsfilterung ist, dass die Gruppe unter Delegierung mit dem Recht "Lesen (durch Sicherheitsfilterung)" aufgeführt wird. Wenn Du in der Delegierung auf "Erweitert" gehst, wirst Du sehen, dass es zwei Rechte, lesen und anwenden (oder so ähnlich) sind. Da du offenbar nur das Leserecht manuell unter Delegierung hinzugefügt hast, fehlt das Recht zum Anwenden.
Das Resultat dieser Automatik über die Sicherheitsfilterung ist, dass die Gruppe unter Delegierung mit dem Recht "Lesen (durch Sicherheitsfilterung)" aufgeführt wird. Wenn Du in der Delegierung auf "Erweitert" gehst, wirst Du sehen, dass es zwei Rechte, lesen und anwenden (oder so ähnlich) sind. Da du offenbar nur das Leserecht manuell unter Delegierung hinzugefügt hast, fehlt das Recht zum Anwenden.
Hi,
Prinzipale, welche in der Sicherheitsfilterung gelistet sind, sind all jene, denen das Recht zur Übernahme der GPO gewährt wurde. bzw. umgekehrt: Alle Prinzipale, welche man dort einträgt, erhalten dieses Recht gewährt. Man muss da also nichts doppelt machen.
Ich könnte mir vorstellen, dass Du das zu schnell nach dem Hinzufügen der Computer zu dieser Gruppe getestet hast.
Also entweder diese Computer durchstarten oder unter Anmeldung von SYSTEM "klist purge" ausführen (z.B. über Scheduled Task oder mittels psexec). Danach gpupdate.
E.
Prinzipale, welche in der Sicherheitsfilterung gelistet sind, sind all jene, denen das Recht zur Übernahme der GPO gewährt wurde. bzw. umgekehrt: Alle Prinzipale, welche man dort einträgt, erhalten dieses Recht gewährt. Man muss da also nichts doppelt machen.
Ich könnte mir vorstellen, dass Du das zu schnell nach dem Hinzufügen der Computer zu dieser Gruppe getestet hast.
Also entweder diese Computer durchstarten oder unter Anmeldung von SYSTEM "klist purge" ausführen (z.B. über Scheduled Task oder mittels psexec). Danach gpupdate.
E.
Zitat von @Benji87:
Hallo Richard,
wenn ich unter Delegierung -> Erweitert ... gucke, hat die Gruppe Lesen und Gruppenrichtlinie übernehmen.
Das sollte dann ja das Ausführungsrecht sein oder?
Hallo Richard,
wenn ich unter Delegierung -> Erweitert ... gucke, hat die Gruppe Lesen und Gruppenrichtlinie übernehmen.
Das sollte dann ja das Ausführungsrecht sein oder?
Ja, das stimmt dann.