3
GPO löscht Systemuser
Hallo Zusammen,
wir haben in unserer Umgebung massive Probleme mit dem Edge Browser.
Dieser Fehler ist im Internet schwer zu finden und auch seitens Microsoft habe ich noch keine zufriedenstellenden Lösungsvorschlag bekommen.
Die Situation sieht wie folgt aus:
Haben wir einen neuen, jungfräulichen PC und richten diesen ein, Funktioniert der Edge Browser reibungslos. Sobald wir diesen in die Domäne heben, funktioniert der Edge Browser nicht mehr.
So ist schnell klar, dass der Fehler von einer GPO kommt.
Das konnte mein Kollege auch beobachten und testen. Sobald er den Computer aus der Domäne nimmt funktioniert der Edge-Browser immer noch nicht. Nach einer anschließenden Reparaturinstallation läuft der Browser wieder.
Wir konnten den Fehler bisher auf eine Gruppenrichtlinie eingrenzen, die für unsere Security-Appliance erstellt wurde.
Diese Richtlinie setzt mehrere Berechtigungen, die die Appliance benötigt um den Scan ordnungsgemäß durchzuführen.
Per Gruppenrichtlinie werden die Rechte bei Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Registrierung Classes_Root, Machine und Users für den Appliance-Benutzer verweigert.
Der Benutzer wurde hier bei den Sicherheitseinstellungen hinzugefügt und eine Haken bei verweigern gesetzt. Allem Anschein nach wird hier ein Systembenutzer mit der SID "S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681" überschrieben oder gelöscht. Dieser User wird wohl bei der Installation erzeugt.
Wir haben eine GPO mit exakt den gleichen Einstellungen angelegt, jedoch die Einstellungen der Registrierung nicht mit übernommen. Mit dieser Richtlinie funktioniert der Edge Browser.
Nach diesem endlosen Text jetzt die Frage:
Besteht eine Möglichkeit diese Berechtigungen an der Registry nur zu "updaten"? Ich habe die Vermutung, dass durch diese Anpassung der Nutzer einfach gelöscht wird.
Hoffentlich kann mir jemand Helfen.
Danke im Voraus.
Lg Philipp
wir haben in unserer Umgebung massive Probleme mit dem Edge Browser.
Dieser Fehler ist im Internet schwer zu finden und auch seitens Microsoft habe ich noch keine zufriedenstellenden Lösungsvorschlag bekommen.
Die Situation sieht wie folgt aus:
Haben wir einen neuen, jungfräulichen PC und richten diesen ein, Funktioniert der Edge Browser reibungslos. Sobald wir diesen in die Domäne heben, funktioniert der Edge Browser nicht mehr.
So ist schnell klar, dass der Fehler von einer GPO kommt.
Das konnte mein Kollege auch beobachten und testen. Sobald er den Computer aus der Domäne nimmt funktioniert der Edge-Browser immer noch nicht. Nach einer anschließenden Reparaturinstallation läuft der Browser wieder.
Wir konnten den Fehler bisher auf eine Gruppenrichtlinie eingrenzen, die für unsere Security-Appliance erstellt wurde.
Diese Richtlinie setzt mehrere Berechtigungen, die die Appliance benötigt um den Scan ordnungsgemäß durchzuführen.
Per Gruppenrichtlinie werden die Rechte bei Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Registrierung Classes_Root, Machine und Users für den Appliance-Benutzer verweigert.
Wir haben eine GPO mit exakt den gleichen Einstellungen angelegt, jedoch die Einstellungen der Registrierung nicht mit übernommen. Mit dieser Richtlinie funktioniert der Edge Browser.
Nach diesem endlosen Text jetzt die Frage:
Besteht eine Möglichkeit diese Berechtigungen an der Registry nur zu "updaten"? Ich habe die Vermutung, dass durch diese Anpassung der Nutzer einfach gelöscht wird.
Hoffentlich kann mir jemand Helfen.
Danke im Voraus.
Lg Philipp
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 481957
Url: https://administrator.de/contentid/481957
Printed on: April 18, 2024 at 17:04 o'clock
3 Comments
Latest comment
Hi,
das Hinzufügen einer einzelnen ACE zu einer ACL geht nicht mit GPO-Richtlinien.
Aber Du könntest ein Startup-Script ausführen lassen, oder eine geplante Aufgabe im Systemkontext, welches diese ACE der ACL hinzufügt. Das sollte z.B. mit SetACL gehen.
E.
Edit:
Und ändere bitte mal den Titel der Frage. Hier wird kein Benutzer gelöscht.
das Hinzufügen einer einzelnen ACE zu einer ACL geht nicht mit GPO-Richtlinien.
Aber Du könntest ein Startup-Script ausführen lassen, oder eine geplante Aufgabe im Systemkontext, welches diese ACE der ACL hinzufügt. Das sollte z.B. mit SetACL gehen.
E.
Edit:
Und ändere bitte mal den Titel der Frage. Hier wird kein Benutzer gelöscht.
Die Frage an dieser Stelle ist ja ob es möglich ist diese Änderung Rückgängig zu machen.
Ich wüsste nicht wie mir hier der SetACL befehl helfen könnte.
Im Netz finden sich zahlreiche Themen zu dieser Unbekannte SID die mit dem Anniversary Update kam. Leider beziehen sich die Fragen nur darauf woher diese SID kommt und nicht wie man das entfernen Rückgängig machen kann. Es steht nur oft beschrieben, dass man diese unter keinen Umständen löschen sollte. Wir wissen zwar wie wir den Fehler beheben (mit einer Reparaturinstallation), aber dies ist im Unternehmen mit 300 Clients zu aufwändig.
Meiner Meinung nach sollte spätestens beim nächsten Funktion-Update der Fehler behoben sein, da ja im Hintergrund eine Neuinstallation ausgeführt wird. Die Frage ist nur ob Microsoft den Termin nächsten Monat halten kann.
Ich wüsste nicht wie mir hier der SetACL befehl helfen könnte.
Im Netz finden sich zahlreiche Themen zu dieser Unbekannte SID die mit dem Anniversary Update kam. Leider beziehen sich die Fragen nur darauf woher diese SID kommt und nicht wie man das entfernen Rückgängig machen kann. Es steht nur oft beschrieben, dass man diese unter keinen Umständen löschen sollte. Wir wissen zwar wie wir den Fehler beheben (mit einer Reparaturinstallation), aber dies ist im Unternehmen mit 300 Clients zu aufwändig.
Meiner Meinung nach sollte spätestens beim nächsten Funktion-Update der Fehler behoben sein, da ja im Hintergrund eine Neuinstallation ausgeführt wird. Die Frage ist nur ob Microsoft den Termin nächsten Monat halten kann.
Deine Frage war
Diese SID lautet: "S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681".
z.B. ICACLS kann auch mit SID's arbeiten, statt Username.
Besteht eine Möglichkeit diese Berechtigungen an der Registry nur zu "updaten"?
Diese SID lautet: "S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681".
z.B. ICACLS kann auch mit SID's arbeiten, statt Username.
