katja56
Goto Top

GPO:Sicherheitsfilterung auf Computer

Hi,

gibt es evtl. eine Lösung dafür dass die Sicherheitsfilterung nur auf Computer wirkt, wenn diese einzeln und direkt in der Sicherheitsfilterung innerhalb der GPO eingetragen sind? Nehme ich eine Globale Sicherheitsgruppe und packe dort die Computerkonten hinein und packe diese Gruppe in die Sicherheitsfilterung, dann wird die GPO am entsprechenden Computer nicht angewendet, obwohl lesen und anwenden angehakt sind.

2024-09-19 13_14_19-swits-dc1b - royal ts

Ciao, Katja

Content-ID: 668251

Url: https://administrator.de/contentid/668251

Printed on: October 15, 2024 at 05:10 o'clock

Ted555
Solution Ted555 Sep 19, 2024 updated at 12:04:50 (UTC)
Goto Top
Entsprechende Maschine rebooten oder Kerberos Tickets des "Computers" löschen , sonst hat der Computer noch nicht das Gruppen Token, denn die aktuellen Mitgliedschaften werden nur erneuert wenn das alte Token entweder abläuft, dieser neu gestartet, oder das Token von Hand gelöscht wird...
Auch hier lesen
GPO - Filterung: Verweigert (Sicherheit)
ukulele-7
ukulele-7 Sep 19, 2024 at 11:29:47 (UTC)
Goto Top
gibt es evtl. eine Lösung dafür dass die Sicherheitsfilterung nur auf Computer wirkt, wenn diese einzeln und direkt in der Sicherheitsfilterung innerhalb der GPO eingetragen sind?
Nein, braucht man auch nicht.
Nehme ich eine Globale Sicherheitsgruppe und packe dort die Computerkonten hinein und packe diese Gruppe in die Sicherheitsfilterung, dann wird die GPO am entsprechenden Computer nicht angewendet, obwohl lesen und anwenden angehakt sind.
Doch, das sollte genau so funktionieren. Wenn es das nicht tut, siehe @Ted555 oder prüfen, ob vielleicht noch weitere Filter wie WMI aktiv sind, gpresult prüfen, etc.
katja56
katja56 Sep 19, 2024 at 12:44:55 (UTC)
Goto Top
Danke. Dann lösche ich mal das Kerboros Ticket
Ted555
Ted555 Sep 19, 2024 updated at 12:50:47 (UTC)
Goto Top
Zitat von @katja56:

Danke. Dann lösche ich mal das Kerboros Ticket

Aber bitte das des Computers nicht des Users .... Also Shell mit Systemrechten öffnen (psexec -i -s cmd) oder immediate Task mit SYSTEM Principal.

Wieso nicht rebooten?