Sep 24, 2018

7430

GPO - Protokollierung der Anmeldeversuche -Das Richtlinienmodul hat nicht versucht die Einstellungen zu ändern

Hallo zusammen,
ich bin auf der Suche nach der Protokollierung von fehlerhaften Anmeldungen im AD.
Eigentlich ganz einfach, da es ja genug Anleitungen dazu im Netz gibt. Im Testsystem funktioniert das Ganze auch super.
Ich ändere die Default Domain Policy unter Computerkonfiguration ->Richtlinien -> Windows Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien/Überwachungsrichtlinie
Anmeldeversuche überwachen -> beide Haken rein

Im Live-System funktioniert das nicht!
Warum nicht?
Die Domäne bestand damals aus einem SBS 2003 als DC.
Diese wurde in Schritten migriert auf 2012 R2.

Nun habe unter Domain Controllers noch die uralte Richtlinie vom SBS 2003 noch im System und denke, dass diese die Probleme machen.

Default Domain Controllers Policy:
Hier sind alle Eigenschaften zum Thema Lokale Richtlinien/Überwachungsrichtlinie eingestellt!!
Wenn ich hier nun die gewünschte Richtlinie entferne und diese in der Default Domain Policy setze, bekomme ich folgenden Fehler:

Das Richtlinienmodul hat nicht versucht die Einstellungen zu ändern.

Bin ich nun gezwungen alle Richtlinien in die Default Domain Policy zu packen, damit ich die Protokollierung aktivieren kann und der Fehler weg ist?

Ich wollte jetzt nicht einfach die Richtlinie der Domain Controller ändern!
Im Testsystem (Default Einstellungen) ist KEINE Richtlinie aus dem Oberpunkt Lokale Richtlinien/Überwachungsrichtlinie gesetzt.

Ich bedanke mich vorab für jede Unterstützung.

MfG
Mario

Please also mark the comments that contributed to the solution of the article

Content-Key: 387516

Url: https://administrator.de/contentid/387516

Printed on: April 19, 2024 at 14:04 o'clock

14 Comments

Latest comment

Hallo,

Zitat von @mario87:
Ich ändere die Default Domain Policy unter Computerkonfiguration

Man (Frau) sollte diese Default Policies nicht ändern, sondern eine neue zusätzliche erstellen

Im Live-System funktioniert das nicht!

GPResult und RSOP sagen was? Ein GPUpdate /Force auf deinen DC(s) gemacht?

Nun habe unter Domain Controllers noch die uralte Richtlinie vom SBS 2003 noch im System und denke, dass diese die Probleme machen.

Warum sollte diese Probleme machen? Was sind dort an Einstellungen denn noch enthalten welche angewendet werden? Bedenke, Default Domain ist nicht gleich Default Domain Controller, aber auch hier gilt lieber eine neue zusätzlcihe GPO...

Das Richtlinienmodul hat nicht versucht die Einstellungen zu ändern.

Steht das wirklich da?

Bin ich nun gezwungen alle Richtlinien in die Default Domain Policy zu packen, damit ich die Protokollierung aktivieren kann und der Fehler weg ist?

Bedenke, es gibt die Default Domain und die Default Domain Controller GPO...

Ich wollte jetzt nicht einfach die Richtlinie der Domain Controller ändern!

Solltest du auch nicht.
https://social.technet.microsoft.com/Forums/windows/en-US/827c5324-eb51- ...
https://serverfault.com/questions/345937/what-group-policy-settings-must ...
http://www.sysadminlab.net/windows/restore-default-domain-policy-and-de ...
https://www.gruppenrichtlinien.de/index.php?id=31&tx_ttnews%5Btt_new ...
https://activedirectorypro.com/group-policy-best-practices/

Gruß,
Peter

GPResult und RSOP am Client geben ja den o.g. Fehler "Das Richtlinienmodul hat nicht versucht die Einstellungen zu ändern." aus!

Default Domain Controllers Policy enthält die Richtlinie, die ich ändern möchte!
Wenn ich die Richtlinie dort deaktiviere, kann ich diese nicht in der Default Domain Policy setzen bzw. auch nicht in einer anderen Richtlinie. Dann kommt nach RSOP der o.g. Fehler!

Ja, ein GPUpdate /force habe ich auf allen DC's gemacht!

Ich hoffe, dass das so einigermaßen klar wird, was genau das Problem ist.

Die Richtlinien...

Anmeldeereignisse überwachen
Anmeldeversuche überwachen
Kontenverwaltung überwachen
Objektzugriffsversuche überwachen
Prozessverfolgung überwachen
Rechteverwendung überwachen
Richtlinienänderungen überwachen
Systemereignisse überwachen
Verzeichnisdienstzugriff überwachen

sind alle in der alten SBS 2003 Default Domain Controllers Policy enthalten.

Wenn ich nun die Anmeldeversuche überwachen dort deaktiviere bzw. lösche und dafür eine neue GPO anlege, kommt der o.g. Fehler auf den Clients nach RSOP!

Hallo,

Zitat von @mario87:
Wenn ich die Richtlinie dort deaktiviere, kann ich diese nicht in der Default Domain Policy setzen

bzw. auch nicht in einer anderen Richtlinie.
Warum kannst du die nicht in einer anderen GPO oder in der Default Domain Policy änden? Fehlermeldung?

Dann kommt nach RSOP der o.g. Fehler!

Läuft RSOP bei dir überhaupt noch sauber durch? Was steht in den Ereingnissprotokollen drin?
Mal gelesen https://www.mcseboard.de/topic/209838-rechte-auf-ordner-setzen-per-gpo-f ...

Ich hoffe, dass das so einigermaßen klar wird, was genau das Problem ist.

Dir ist aber schon klar das GPResult und RSOP dir nur die Ergebnisse anzeigen tun? Dier erstellung und bearbeiten eine GPO hat nichts damit zu tun.

Gruß,
Peter

Hallo,

Zitat von @mario87:
sind alle in der alten SBS 2003 Default Domain Controllers Policy enthalten.

Und in dein Server 2012R2 sind die immer noch (auch aktiv)? Warum wurden diese nicht bereinigt bzw. gelöscht bei deinen Schritten zum Server 2012R2? Beispielsweise https://docs.microsoft.com/en-us/windows-server-essentials/migrate/move- ...

Gruß,
Peter

Eine Fehlermeldung kommt nicht. bzw. nicht beim ändern sondern nur am Client als RSOP Ergebnis!!!

RSOP läuft sauber durch bis auf die Richtlinie, die sich anscheinend beißt. Da kommt ja genau der Fehler im RSOP:
Das Richtlinienmodul hat nicht versucht, die Einstellungen zu ändern.
Weitere Informationen finden Sie unter...

Ja, das ist mir schon bewusst.

Ich habe die Umgebung so übernommen und da war das leider schon so.

Die sind noch aktiv, ja!

So Leute ich habe nun nochmal ein paar News.

Ich habe die alten Richtlinien gelöscht.

Für die Domain Controller habe ich nun genau zwei Richtlinien.
- Default Domain Controllers Policy
- Logging Zugriffe (neu erstellt)

Im Ereignislog bekomme ich die Meldung, dass die GPOs erfolgreich ohne Fehler angewendet wurden.

Nach einem GPUpdate /force auf allen DCs, bekomme ich bei neu erstellten Richtlinie im RSOP folgende Meldung:

Hallo,

Zitat von @mario87:
- Logging Zugriffe (neu erstellt)
Nach einem GPUpdate /force auf allen DCs, bekomme ich bei neu erstellten Richtlinie im RSOP folgende Meldung:

Was genau ist in dieser GPO eingestellt? Uns nur das weiße Kreuz im roten Kreis zu zeigen reicht hier nicht. Da ist etwas drin was dort als Fehler gerwertet wird oder es fehlt dort etwas. Wie sind die Rechte usw.
https://www.flatbox.org/aen%C2%ADder%C2%ADungen-in-grup%C2%ADpen%C2%ADri ...
https://www.windowspro.de/wolfgang-sommergut/gruppenrichtlinien-aenderun ...
https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfun ...
https://sdmsoftware.com/group-policy-blog/bugs/new-group-policy-patch-ms ...
https://blogs.technet.microsoft.com/askds/2016/06/22/deploying-group-pol ...

Gruß,
Peter

Fehler gefunden!!

Manchmal sieht man den Baum vor lauter Bäumen nicht.
In einer gelöschten SBS Richtlinie waren die Einstellungen mit dem Anmeldeversuch schon drin.
Diese war nur für die DC's gültig und wurde gelöscht.

Allerdings greift diese ja nun immer noch, wird nur weiterhin nicht mehr verteilt.
Wie kann ich die GPO auf den DC's löschen, damit diese nicht mehr übernommen wird? Aus dem Filesystem, nicht aus dem Gruppenrichtlinieneditor! da ist Sie ja schon gelöscht.

Ich könnte die neue Richtlinie auch erzwingen, möchte aber gerne ein sauberes System hinterlassen.

Hallo,

Zitat von @mario87:
Manchmal sieht man den Baum vor lauter Bäumen nicht.

Wie kann ich die GPO auf den DC's löschen, damit diese nicht mehr übernommen wird?

Die gemachten Einstellungen per Hand zurücksetzten (sofern die Einstellungen von vorher bekannt sind), beachte aber auch das einige Einstellungen nicht zurückgesetzt werden (GPO Tattoing). Am besten deren Einstellung zurücksetzen bevor die GPOs gelöscht werden.
https://serverfault.com/questions/566180/removing-gpo-comprehensive-list ...
https://serverfault.com/questions/560736/revert-gpo-settings-to-undefine ...
https://serverfault.com/questions/624019/how-to-completely-reset-group-p ...
https://social.technet.microsoft.com/Forums/windows/en-US/cd818c1b-d588- ...
https://community.spiceworks.com/topic/1963902-resetting-group-policy-ba ...
http://www.grouppolicy.biz/2011/12/how-to-reset-the-default-domain-grou ...
https://social.technet.microsoft.com/Forums/windowsserver/en-US/bc2982f6 ...
https://www.petri.com/forums/forum/microsoft-networking-services/gpo/635 ...

Aus dem Filesystem

?!? Schon mal Löschen versucht?

Gruß,
Peter

Wo finde ich denn genau die GPOs im Filesystem, die auf den DC's wirken?
Es geht ja immer noch "nur" um das Logging. Würde jetzt ungern die falsche GPO auf dem DC im Filesystem löschen wollen.

Danke für die super Unterstützung bisher.

Gruß
Mario

Hallo,

Zitat von @mario87:
Wo finde ich denn genau die GPOs im Filesystem, die auf den DC's wirken?

Im Standard ist es c:\Windows\Sysvol\sysvol\<domainname>\Policies.
http://techgenix.com/group-policy-settings-part1/

Gruß,
Peter

So, vielen Dank für die super Unterstützung.

Das Ergebnis sieht nun wie folgt aus:
- Default Domain Policy
- Default Domain Controllers Policy

wurden auf den Standard zurückgesetzt und die alten SBS 2003 Richtlinien wurden sauber eliminiert.

Danach konnte die gewünschte Überwachungsrichtlinie wie gewünscht aktiviert werden.

Vielen Dank!

Gruß
Mario

German solved Question Windows Server Microsoft

Hotly discussed

Check of ZFW Firewallgleixnerd - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment