8
GPO - Filterung: Verweigert (Sicherheit)
Ich habe folgendes Problem bei der Anwendung von GPOs.
Ich wollte eine GPO für die Konfiguration der Firewall (Remotedesktop) erzeugen, um das aber als Fehlerbild auszuschließen habe ich auch eine noch einfachere GPO erzeugt in der ich die "Äußerst detaillierte Statusmeldung anzeigen" aktiviert habe.
Nun verhält es sich so, dass die GPO auf einem MS Server 2022 übernommen wird aber bei 2019 und 2016 Filterung: Verweigert (Sicherheit) steht (wenn ich gpresult befrage).
Zu der Config
Was übersehe ich?
Ich wollte eine GPO für die Konfiguration der Firewall (Remotedesktop) erzeugen, um das aber als Fehlerbild auszuschließen habe ich auch eine noch einfachere GPO erzeugt in der ich die "Äußerst detaillierte Statusmeldung anzeigen" aktiviert habe.
Nun verhält es sich so, dass die GPO auf einem MS Server 2022 übernommen wird aber bei 2019 und 2016 Filterung: Verweigert (Sicherheit) steht (wenn ich gpresult befrage).
Zu der Config
- Server sind in der gleichen OU
- Server sind in der gleichen Gruppe die für die Sicherheitsfilterung benutzt wird
- unter Delegierung habe ich den Domänen-Computer die Lese-Rechte gegeben
- Authentifizier Benutzer wurde bei Sicherheitsfilterung entfernt (deswegen ja auch der Punkt darüber)
- kein Loopback an
- keine GPO die an den Punkten vorher was ändert
Was übersehe ich?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 11200784690
Url: https://administrator.de/contentid/11200784690
Printed on: July 26, 2024 at 14:07 o'clock
8 Comments
Latest comment
Hallo,
der Beschreibung nach haben die Computer kein Recht, die GPO anzuwenden. Das ist zu unterscheiden vom Leserecht.
Grüße
Richard
der Beschreibung nach haben die Computer kein Recht, die GPO anzuwenden. Das ist zu unterscheiden vom Leserecht.
Grüße
Richard
Hallo Richard,
danke für deine schnelle Antwort.
Über das Recht die GPO anzuwenden habe ich mir noch nie Gedanken gemacht. Ich dachte das kommt quasi über die Domänenzugehörigkeit oder wenigstens über den Eintrag System unter Delegierung. Bei der LAPS-GPO habe ich das 1 zu 1 so wie oben beschrieben konfiguriert und es funktioniert (auf einen anderen Server in der gleichen OU). Die Sicherheitsfilterung ist für mich dazu da, die Systeme nicht in verschiedene OUs aufsplitten zu müssen.
An welcher Stelle wird denn das Recht auf Anwendung gesetzt?
Auf allen Servern funktioniert auch die WSUS-GPO aber die hat auch keine Sicherheitsfilterung.
Grüße
Benjamin
danke für deine schnelle Antwort.
Über das Recht die GPO anzuwenden habe ich mir noch nie Gedanken gemacht. Ich dachte das kommt quasi über die Domänenzugehörigkeit oder wenigstens über den Eintrag System unter Delegierung. Bei der LAPS-GPO habe ich das 1 zu 1 so wie oben beschrieben konfiguriert und es funktioniert (auf einen anderen Server in der gleichen OU). Die Sicherheitsfilterung ist für mich dazu da, die Systeme nicht in verschiedene OUs aufsplitten zu müssen.
An welcher Stelle wird denn das Recht auf Anwendung gesetzt?
Auf allen Servern funktioniert auch die WSUS-GPO aber die hat auch keine Sicherheitsfilterung.
Grüße
Benjamin
Man übersieht dieses Recht leicht, weil es automatisch gesetzt wird, wenn man die Sicherheitsfilterung (auf dem ersten Tab) einrichtet, d.h. von Authentifizierte Benutzer auf eine Sicherheitsgruppe ändert. Das Problem ist dann eher umgekehrt, dass dann nur diese Gruppe Lesen- & Anwenden-Rechte hat, und alle anderen nicht mal Lese-Rechte, was oft unerwünscht ist.
Das Resultat dieser Automatik über die Sicherheitsfilterung ist, dass die Gruppe unter Delegierung mit dem Recht "Lesen (durch Sicherheitsfilterung)" aufgeführt wird. Wenn Du in der Delegierung auf "Erweitert" gehst, wirst Du sehen, dass es zwei Rechte, lesen und anwenden (oder so ähnlich) sind. Da du offenbar nur das Leserecht manuell unter Delegierung hinzugefügt hast, fehlt das Recht zum Anwenden.
Das Resultat dieser Automatik über die Sicherheitsfilterung ist, dass die Gruppe unter Delegierung mit dem Recht "Lesen (durch Sicherheitsfilterung)" aufgeführt wird. Wenn Du in der Delegierung auf "Erweitert" gehst, wirst Du sehen, dass es zwei Rechte, lesen und anwenden (oder so ähnlich) sind. Da du offenbar nur das Leserecht manuell unter Delegierung hinzugefügt hast, fehlt das Recht zum Anwenden.
Hi,
Prinzipale, welche in der Sicherheitsfilterung gelistet sind, sind all jene, denen das Recht zur Übernahme der GPO gewährt wurde. bzw. umgekehrt: Alle Prinzipale, welche man dort einträgt, erhalten dieses Recht gewährt. Man muss da also nichts doppelt machen.
Ich könnte mir vorstellen, dass Du das zu schnell nach dem Hinzufügen der Computer zu dieser Gruppe getestet hast.
Also entweder diese Computer durchstarten oder unter Anmeldung von SYSTEM "klist purge" ausführen (z.B. über Scheduled Task oder mittels psexec). Danach gpupdate.
E.
Prinzipale, welche in der Sicherheitsfilterung gelistet sind, sind all jene, denen das Recht zur Übernahme der GPO gewährt wurde. bzw. umgekehrt: Alle Prinzipale, welche man dort einträgt, erhalten dieses Recht gewährt. Man muss da also nichts doppelt machen.
Ich könnte mir vorstellen, dass Du das zu schnell nach dem Hinzufügen der Computer zu dieser Gruppe getestet hast.
Also entweder diese Computer durchstarten oder unter Anmeldung von SYSTEM "klist purge" ausführen (z.B. über Scheduled Task oder mittels psexec). Danach gpupdate.
E.
Hallo Richard,
wenn ich unter Delegierung -> Erweitert ... gucke, hat die Gruppe Lesen und Gruppenrichtlinie übernehmen.
Das sollte dann ja das Ausführungsrecht sein oder?
wenn ich unter Delegierung -> Erweitert ... gucke, hat die Gruppe Lesen und Gruppenrichtlinie übernehmen.
Das sollte dann ja das Ausführungsrecht sein oder?
Hallo emeriks,
prinzipiell habe ich heute Vormittag schon eine Weile ausprobiert und nach jeder Änderung die gpupdate /force ausgeführt. Weiterhin sind zwei der drei Server seit gestern in der Gruppe.
Eigentlich sollte das doch ausreichen.
prinzipiell habe ich heute Vormittag schon eine Weile ausprobiert und nach jeder Änderung die gpupdate /force ausgeführt. Weiterhin sind zwei der drei Server seit gestern in der Gruppe.
Eigentlich sollte das doch ausreichen.
Ich weiß jetzt nicht, wie lange es dauert, bis ein durchlaufender Computer seine geänderte Gruppenmitgliedschaft aktualisiert. Im Zweifelfall würde ich das wie schon von mir beschrieben manuell machen.
Zitat von @Benji87:
Hallo Richard,
wenn ich unter Delegierung -> Erweitert ... gucke, hat die Gruppe Lesen und Gruppenrichtlinie übernehmen.
Das sollte dann ja das Ausführungsrecht sein oder?
Hallo Richard,
wenn ich unter Delegierung -> Erweitert ... gucke, hat die Gruppe Lesen und Gruppenrichtlinie übernehmen.
Das sollte dann ja das Ausführungsrecht sein oder?
Ja, das stimmt dann.