14
GPO - Protokollierung der Anmeldeversuche -Das Richtlinienmodul hat nicht versucht die Einstellungen zu ändern
Hallo zusammen,
ich bin auf der Suche nach der Protokollierung von fehlerhaften Anmeldungen im AD.
Eigentlich ganz einfach, da es ja genug Anleitungen dazu im Netz gibt. Im Testsystem funktioniert das Ganze auch super.
Ich ändere die Default Domain Policy unter Computerkonfiguration ->Richtlinien -> Windows Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien/Überwachungsrichtlinie
Anmeldeversuche überwachen -> beide Haken rein
Im Live-System funktioniert das nicht!
Warum nicht?
Die Domäne bestand damals aus einem SBS 2003 als DC.
Diese wurde in Schritten migriert auf 2012 R2.
Nun habe unter Domain Controllers noch die uralte Richtlinie vom SBS 2003 noch im System und denke, dass diese die Probleme machen.
Default Domain Controllers Policy:
Hier sind alle Eigenschaften zum Thema Lokale Richtlinien/Überwachungsrichtlinie eingestellt!!
Wenn ich hier nun die gewünschte Richtlinie entferne und diese in der Default Domain Policy setze, bekomme ich folgenden Fehler:
Das Richtlinienmodul hat nicht versucht die Einstellungen zu ändern.
Bin ich nun gezwungen alle Richtlinien in die Default Domain Policy zu packen, damit ich die Protokollierung aktivieren kann und der Fehler weg ist?
Ich wollte jetzt nicht einfach die Richtlinie der Domain Controller ändern!
Im Testsystem (Default Einstellungen) ist KEINE Richtlinie aus dem Oberpunkt Lokale Richtlinien/Überwachungsrichtlinie gesetzt.
Ich bedanke mich vorab für jede Unterstützung.
MfG
Mario
ich bin auf der Suche nach der Protokollierung von fehlerhaften Anmeldungen im AD.
Eigentlich ganz einfach, da es ja genug Anleitungen dazu im Netz gibt. Im Testsystem funktioniert das Ganze auch super.
Ich ändere die Default Domain Policy unter Computerkonfiguration ->Richtlinien -> Windows Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien/Überwachungsrichtlinie
Anmeldeversuche überwachen -> beide Haken rein
Im Live-System funktioniert das nicht!
Warum nicht?
Die Domäne bestand damals aus einem SBS 2003 als DC.
Diese wurde in Schritten migriert auf 2012 R2.
Nun habe unter Domain Controllers noch die uralte Richtlinie vom SBS 2003 noch im System und denke, dass diese die Probleme machen.
Default Domain Controllers Policy:
Hier sind alle Eigenschaften zum Thema Lokale Richtlinien/Überwachungsrichtlinie eingestellt!!
Wenn ich hier nun die gewünschte Richtlinie entferne und diese in der Default Domain Policy setze, bekomme ich folgenden Fehler:
Das Richtlinienmodul hat nicht versucht die Einstellungen zu ändern.
Bin ich nun gezwungen alle Richtlinien in die Default Domain Policy zu packen, damit ich die Protokollierung aktivieren kann und der Fehler weg ist?
Ich wollte jetzt nicht einfach die Richtlinie der Domain Controller ändern!
Im Testsystem (Default Einstellungen) ist KEINE Richtlinie aus dem Oberpunkt Lokale Richtlinien/Überwachungsrichtlinie gesetzt.
Ich bedanke mich vorab für jede Unterstützung.
MfG
Mario
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 387516
Url: https://administrator.de/forum/gpo-protokollierung-der-anmeldeversuche-das-richtlinienmodul-hat-nicht-versucht-die-einstellungen-zu-aendern-387516.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
Man (Frau) sollte diese Default Policies nicht ändern, sondern eine neue zusätzliche erstellen
https://social.technet.microsoft.com/Forums/windows/en-US/827c5324-eb51- ...
https://serverfault.com/questions/345937/what-group-policy-settings-must ...
http://www.sysadminlab.net/windows/restore-default-domain-policy-and-de ...
https://www.gruppenrichtlinien.de/index.php?id=31&tx_ttnews%5Btt_new ...
https://activedirectorypro.com/group-policy-best-practices/
Gruß,
Peter
Man (Frau) sollte diese Default Policies nicht ändern, sondern eine neue zusätzliche erstellen
Im Live-System funktioniert das nicht!
GPResult und RSOP sagen was? Ein GPUpdate /Force auf deinen DC(s) gemacht?Nun habe unter Domain Controllers noch die uralte Richtlinie vom SBS 2003 noch im System und denke, dass diese die Probleme machen.
Warum sollte diese Probleme machen? Was sind dort an Einstellungen denn noch enthalten welche angewendet werden? Bedenke, Default Domain ist nicht gleich Default Domain Controller, aber auch hier gilt lieber eine neue zusätzlcihe GPO...Das Richtlinienmodul hat nicht versucht die Einstellungen zu ändern.
Steht das wirklich da?Bin ich nun gezwungen alle Richtlinien in die Default Domain Policy zu packen, damit ich die Protokollierung aktivieren kann und der Fehler weg ist?
Bedenke, es gibt die Default Domain und die Default Domain Controller GPO...Ich wollte jetzt nicht einfach die Richtlinie der Domain Controller ändern!
Solltest du auch nicht.https://social.technet.microsoft.com/Forums/windows/en-US/827c5324-eb51- ...
https://serverfault.com/questions/345937/what-group-policy-settings-must ...
http://www.sysadminlab.net/windows/restore-default-domain-policy-and-de ...
https://www.gruppenrichtlinien.de/index.php?id=31&tx_ttnews%5Btt_new ...
https://activedirectorypro.com/group-policy-best-practices/
Gruß,
Peter
1
GPResult und RSOP am Client geben ja den o.g. Fehler "Das Richtlinienmodul hat nicht versucht die Einstellungen zu ändern." aus!
Default Domain Controllers Policy enthält die Richtlinie, die ich ändern möchte!
Wenn ich die Richtlinie dort deaktiviere, kann ich diese nicht in der Default Domain Policy setzen bzw. auch nicht in einer anderen Richtlinie. Dann kommt nach RSOP der o.g. Fehler!
Ja, ein GPUpdate /force habe ich auf allen DC's gemacht!
Ich hoffe, dass das so einigermaßen klar wird, was genau das Problem ist.
Default Domain Controllers Policy enthält die Richtlinie, die ich ändern möchte!
Wenn ich die Richtlinie dort deaktiviere, kann ich diese nicht in der Default Domain Policy setzen bzw. auch nicht in einer anderen Richtlinie. Dann kommt nach RSOP der o.g. Fehler!
Ja, ein GPUpdate /force habe ich auf allen DC's gemacht!
Ich hoffe, dass das so einigermaßen klar wird, was genau das Problem ist.
Die Richtlinien...
Anmeldeereignisse überwachen
Anmeldeversuche überwachen
Kontenverwaltung überwachen
Objektzugriffsversuche überwachen
Prozessverfolgung überwachen
Rechteverwendung überwachen
Richtlinienänderungen überwachen
Systemereignisse überwachen
Verzeichnisdienstzugriff überwachen
sind alle in der alten SBS 2003 Default Domain Controllers Policy enthalten.
Wenn ich nun die Anmeldeversuche überwachen dort deaktiviere bzw. lösche und dafür eine neue GPO anlege, kommt der o.g. Fehler auf den Clients nach RSOP!
Anmeldeereignisse überwachen
Anmeldeversuche überwachen
Kontenverwaltung überwachen
Objektzugriffsversuche überwachen
Prozessverfolgung überwachen
Rechteverwendung überwachen
Richtlinienänderungen überwachen
Systemereignisse überwachen
Verzeichnisdienstzugriff überwachen
sind alle in der alten SBS 2003 Default Domain Controllers Policy enthalten.
Wenn ich nun die Anmeldeversuche überwachen dort deaktiviere bzw. lösche und dafür eine neue GPO anlege, kommt der o.g. Fehler auf den Clients nach RSOP!
Hallo,
Warum kannst du die nicht in einer anderen GPO oder in der Default Domain Policy änden? Fehlermeldung?
Mal gelesen https://www.mcseboard.de/topic/209838-rechte-auf-ordner-setzen-per-gpo-f ...
Gruß,
Peter
Zitat von @mario87:
Wenn ich die Richtlinie dort deaktiviere, kann ich diese nicht in der Default Domain Policy setzen
bzw. auch nicht in einer anderen Richtlinie.Wenn ich die Richtlinie dort deaktiviere, kann ich diese nicht in der Default Domain Policy setzen
Warum kannst du die nicht in einer anderen GPO oder in der Default Domain Policy änden? Fehlermeldung?
Dann kommt nach RSOP der o.g. Fehler!
Läuft RSOP bei dir überhaupt noch sauber durch? Was steht in den Ereingnissprotokollen drin?Mal gelesen https://www.mcseboard.de/topic/209838-rechte-auf-ordner-setzen-per-gpo-f ...
Ich hoffe, dass das so einigermaßen klar wird, was genau das Problem ist.
Dir ist aber schon klar das GPResult und RSOP dir nur die Ergebnisse anzeigen tun? Dier erstellung und bearbeiten eine GPO hat nichts damit zu tun.Gruß,
Peter
1
Hallo,
Und in dein Server 2012R2 sind die immer noch (auch aktiv)? Warum wurden diese nicht bereinigt bzw. gelöscht bei deinen Schritten zum Server 2012R2? Beispielsweise https://docs.microsoft.com/en-us/windows-server-essentials/migrate/move- ...
Gruß,
Peter
Und in dein Server 2012R2 sind die immer noch (auch aktiv)? Warum wurden diese nicht bereinigt bzw. gelöscht bei deinen Schritten zum Server 2012R2? Beispielsweise https://docs.microsoft.com/en-us/windows-server-essentials/migrate/move- ...
Gruß,
Peter
1
Eine Fehlermeldung kommt nicht. bzw. nicht beim ändern sondern nur am Client als RSOP Ergebnis!!!
RSOP läuft sauber durch bis auf die Richtlinie, die sich anscheinend beißt. Da kommt ja genau der Fehler im RSOP:
Das Richtlinienmodul hat nicht versucht, die Einstellungen zu ändern.
Weitere Informationen finden Sie unter...
Ja, das ist mir schon bewusst.
RSOP läuft sauber durch bis auf die Richtlinie, die sich anscheinend beißt. Da kommt ja genau der Fehler im RSOP:
Das Richtlinienmodul hat nicht versucht, die Einstellungen zu ändern.
Weitere Informationen finden Sie unter...
Ja, das ist mir schon bewusst.
Ich habe die Umgebung so übernommen und da war das leider schon so.
Die sind noch aktiv, ja!
Die sind noch aktiv, ja!
So Leute ich habe nun nochmal ein paar News.
Ich habe die alten Richtlinien gelöscht.
Für die Domain Controller habe ich nun genau zwei Richtlinien.
- Default Domain Controllers Policy
- Logging Zugriffe (neu erstellt)
Im Ereignislog bekomme ich die Meldung, dass die GPOs erfolgreich ohne Fehler angewendet wurden.
Nach einem GPUpdate /force auf allen DCs, bekomme ich bei neu erstellten Richtlinie im RSOP folgende Meldung:
Ich habe die alten Richtlinien gelöscht.
Für die Domain Controller habe ich nun genau zwei Richtlinien.
- Default Domain Controllers Policy
- Logging Zugriffe (neu erstellt)
Im Ereignislog bekomme ich die Meldung, dass die GPOs erfolgreich ohne Fehler angewendet wurden.
Nach einem GPUpdate /force auf allen DCs, bekomme ich bei neu erstellten Richtlinie im RSOP folgende Meldung:
Hallo,
https://www.flatbox.org/aen%C2%ADder%C2%ADungen-in-grup%C2%ADpen%C2%ADri ...
https://www.windowspro.de/wolfgang-sommergut/gruppenrichtlinien-aenderun ...
https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfun ...
https://sdmsoftware.com/group-policy-blog/bugs/new-group-policy-patch-ms ...
https://blogs.technet.microsoft.com/askds/2016/06/22/deploying-group-pol ...
Gruß,
Peter
Zitat von @mario87:
- Logging Zugriffe (neu erstellt)
Nach einem GPUpdate /force auf allen DCs, bekomme ich bei neu erstellten Richtlinie im RSOP folgende Meldung:
Was genau ist in dieser GPO eingestellt? Uns nur das weiße Kreuz im roten Kreis zu zeigen reicht hier nicht. Da ist etwas drin was dort als Fehler gerwertet wird oder es fehlt dort etwas. Wie sind die Rechte usw.- Logging Zugriffe (neu erstellt)
Nach einem GPUpdate /force auf allen DCs, bekomme ich bei neu erstellten Richtlinie im RSOP folgende Meldung:
https://www.flatbox.org/aen%C2%ADder%C2%ADungen-in-grup%C2%ADpen%C2%ADri ...
https://www.windowspro.de/wolfgang-sommergut/gruppenrichtlinien-aenderun ...
https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfun ...
https://sdmsoftware.com/group-policy-blog/bugs/new-group-policy-patch-ms ...
https://blogs.technet.microsoft.com/askds/2016/06/22/deploying-group-pol ...
Gruß,
Peter
1
Fehler gefunden!!
Manchmal sieht man den Baum vor lauter Bäumen nicht.
In einer gelöschten SBS Richtlinie waren die Einstellungen mit dem Anmeldeversuch schon drin.
Diese war nur für die DC's gültig und wurde gelöscht.
Allerdings greift diese ja nun immer noch, wird nur weiterhin nicht mehr verteilt.
Wie kann ich die GPO auf den DC's löschen, damit diese nicht mehr übernommen wird? Aus dem Filesystem, nicht aus dem Gruppenrichtlinieneditor! da ist Sie ja schon gelöscht.
Ich könnte die neue Richtlinie auch erzwingen, möchte aber gerne ein sauberes System hinterlassen.
Manchmal sieht man den Baum vor lauter Bäumen nicht.
In einer gelöschten SBS Richtlinie waren die Einstellungen mit dem Anmeldeversuch schon drin.
Diese war nur für die DC's gültig und wurde gelöscht.
Allerdings greift diese ja nun immer noch, wird nur weiterhin nicht mehr verteilt.
Wie kann ich die GPO auf den DC's löschen, damit diese nicht mehr übernommen wird? Aus dem Filesystem, nicht aus dem Gruppenrichtlinieneditor! da ist Sie ja schon gelöscht.
Ich könnte die neue Richtlinie auch erzwingen, möchte aber gerne ein sauberes System hinterlassen.
Hallo,
https://serverfault.com/questions/566180/removing-gpo-comprehensive-list ...
https://serverfault.com/questions/560736/revert-gpo-settings-to-undefine ...
https://serverfault.com/questions/624019/how-to-completely-reset-group-p ...
https://social.technet.microsoft.com/Forums/windows/en-US/cd818c1b-d588- ...
https://community.spiceworks.com/topic/1963902-resetting-group-policy-ba ...
http://www.grouppolicy.biz/2011/12/how-to-reset-the-default-domain-grou ...
https://social.technet.microsoft.com/Forums/windowsserver/en-US/bc2982f6 ...
https://www.petri.com/forums/forum/microsoft-networking-services/gpo/635 ...
Gruß,
Peter
Wie kann ich die GPO auf den DC's löschen, damit diese nicht mehr übernommen wird?
Die gemachten Einstellungen per Hand zurücksetzten (sofern die Einstellungen von vorher bekannt sind), beachte aber auch das einige Einstellungen nicht zurückgesetzt werden (GPO Tattoing). Am besten deren Einstellung zurücksetzen bevor die GPOs gelöscht werden.https://serverfault.com/questions/566180/removing-gpo-comprehensive-list ...
https://serverfault.com/questions/560736/revert-gpo-settings-to-undefine ...
https://serverfault.com/questions/624019/how-to-completely-reset-group-p ...
https://social.technet.microsoft.com/Forums/windows/en-US/cd818c1b-d588- ...
https://community.spiceworks.com/topic/1963902-resetting-group-policy-ba ...
http://www.grouppolicy.biz/2011/12/how-to-reset-the-default-domain-grou ...
https://social.technet.microsoft.com/Forums/windowsserver/en-US/bc2982f6 ...
https://www.petri.com/forums/forum/microsoft-networking-services/gpo/635 ...
Aus dem Filesystem
?!? Schon mal Löschen versucht?Gruß,
Peter
1
Wo finde ich denn genau die GPOs im Filesystem, die auf den DC's wirken?
Es geht ja immer noch "nur" um das Logging. Würde jetzt ungern die falsche GPO auf dem DC im Filesystem löschen wollen.
Danke für die super Unterstützung bisher.
Gruß
Mario
Es geht ja immer noch "nur" um das Logging. Würde jetzt ungern die falsche GPO auf dem DC im Filesystem löschen wollen.
Danke für die super Unterstützung bisher.
Gruß
Mario
Hallo,
Im Standard ist es c:\Windows\Sysvol\sysvol\<domainname>\Policies.
http://techgenix.com/group-policy-settings-part1/
Gruß,
Peter
Im Standard ist es c:\Windows\Sysvol\sysvol\<domainname>\Policies.
http://techgenix.com/group-policy-settings-part1/
Gruß,
Peter
1
So, vielen Dank für die super Unterstützung.
Das Ergebnis sieht nun wie folgt aus:
- Default Domain Policy
- Default Domain Controllers Policy
wurden auf den Standard zurückgesetzt und die alten SBS 2003 Richtlinien wurden sauber eliminiert.
Danach konnte die gewünschte Überwachungsrichtlinie wie gewünscht aktiviert werden.
Vielen Dank!
Gruß
Mario
Das Ergebnis sieht nun wie folgt aus:
- Default Domain Policy
- Default Domain Controllers Policy
wurden auf den Standard zurückgesetzt und die alten SBS 2003 Richtlinien wurden sauber eliminiert.
Danach konnte die gewünschte Überwachungsrichtlinie wie gewünscht aktiviert werden.
Vielen Dank!
Gruß
Mario
