heidlu
02.02.2024, aktualisiert um 09:30:44 Uhr
view1277
view5
0
Goto Top

GPO: Windows übernimmt Berechtigungen für Registrierung nicht

gelöstFrageWindows ServerWindows 11
Guten Morgen,

wir haben aktuell ein Problem mit der Anwendung von Gruppenrichtlinien.

Für unsere Branchensoftware muss ein Schlüssel in der Registrierung bestimmte Berechtigungen haben. Dieser befindet sich unter HKEY_LOCAL_MACHINE und alle Benutzer benötigen Vollzugriff auf diesen Schlüssel. Im Detail ist das der folgende Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Cantor Software GmbH

Per Gruppenrichtlinie habe ich dafür die folgende Einstellung vorgenommen:

screenshot 2024-02-02 085423
screenshot 2024-02-02 085518

Nun ist das Problem, dass der Rechner diese Einstellungen nicht übernimmt. Wenn ich über RSoP nachgucke, welche Richtlinien er übernommen hat, erscheint zwar dieser Registrierungsschlüssel, zeigt aber folgenden Fehler an:

screenshot 2024-02-02 085755

Folgendes habe ich bereits probiert:
  • Die %windir%\security\logs\winlogon.log wollte ich mir anschauen, aber sie existiert gar nicht.
  • Unter Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen > Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen deaktiviert und anschließend Neustart + gpupdate, aber leider kein Erfolg.
  • Unter Computerkonfiguration > Administrative Vorlagen > System > Lokale Sicherheitsautorität > Konfiguriert LSASS für die Ausführung als geschützter Prozess deaktiviert und anschließend Neustart + gpupdate, aber leider auch kein Erfolg.
  • In der Ereignisanzeige nach Fehlern bzgl. Gruppenrichtlinie geschaut, aber dort kommt immer nur die Meldung "Die Gruppenrichtlinieneinstellungen für den Computer wurden erfolgreich verarbeitet.", leider auch nicht sehr hilfreich.

Informationen zu den verwendeten Systemen:
  • Client: Windows 11 Pro, version 23H2
  • Rechner, von dem aus die Gruppenrichtlinien konfiguriert wurden: Windows 11 Pro, version 23H2

Habe mich schon durch diverse Foren geklickt und auch teilweise Ansätze von hier probiert, leider ohne Erfolg.

Vielleicht versucht hier auch einer, die Berechtigungen von Registrierungsschlüsseln per Gruppenrichtlinie anzupassen und ist möglicherweise auch auf so ein Problem gestoßen?

Grüße und schönes Wochenende
Luca
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 73701266536

Url: https://administrator.de/forum/gpo-windows-uebernimmt-berechtigungen-fuer-registrierung-nicht-73701266536.html

Ausgedruckt am: 10.03.2025 um 02:03 Uhr

5 Kommentare
Neuester Kommentar
Goto Top
Xerebus
Xerebus 02.02.2024 um 10:01:04 Uhr
Goto Top
Hallo heidlu

wieso musst du die rechte selbst setzen. Das macht doch der Installer.
Was sagt der Support der Branchensoftware dazu?
heidlu
heidlu 02.02.2024 um 10:17:33 Uhr
Goto Top
Zitat von @Xerebus:

Hallo heidlu

wieso musst du die rechte selbst setzen. Das macht doch der Installer.
Was sagt der Support der Branchensoftware dazu?

Hallo,

was der Support dazu sagt, keine Ahnung. Ist auch kein Installer, sondern die Software wird einfach in einen Ordner auf dem Laufwerk kopiert und die DLLs manuell registriert.

Ich weiß nur, dass es vor Windows 11 auch mit dieser Gruppenrichtlinie funktioniert hat.
heidlu
Lösung heidlu 02.02.2024 um 11:21:08 Uhr
Goto Top
Fehler gefunden, ist leider nirgendswo von Microsoft dokumentiert.

Der Registrierungsschlüssel, für welchen ich Berechtigungen setzen wollte, war dieser hier:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Cantor Software GmbH

Will man darauf per GPO Berechtigungen setzen, dann muss man im Gruppenrichtlinieneditor allerdings folgenden Schlüssel ohne WOW6432Node angeben:
HKEY_LOCAL_MACHINE\SOFTWARE\Cantor Software GmbH

Die Berechtigungen werden dann trotzdem auf den richtigen Schlüssel gesetzt.

Grüße
Luca
DerWoWusste
DerWoWusste 02.02.2024 um 11:25:42 Uhr
Goto Top
Moin.

Ich weiß nur, dass es vor Windows 11 auch mit dieser Gruppenrichtlinie funktioniert hat
Das gehört fett oben drüber.

Ok, dann muss da wohl ein Bug existieren. Da wenige Admins sowas machen, ist er evtl. noch unentdeckt (ohne es gepüft zu haben).
-->Schlage vor, einen Workaround zu deployen: nutze einen einmalig laufehnden immediate task, der das bei allen setzt mittels subinacl.exe, siehe https://answers.microsoft.com/en-us/windows/forum/all/subinaclexe-not-se ...

Der Download ist nicht mehr möglich! Es kommt von MS, der Hash ist publik und ich kann es dir schicken, wenn Du mir in einer PN deine Mail nennst. Oder selbst suchen im Webarchive.org
DerWoWusste
DerWoWusste 02.02.2024 um 11:26:23 Uhr
Goto Top
Fehler gefunden, ist leider nirgendswo von Microsoft dokumentiert.
Und du bist weiterhin sicher, dass es zuvor auf Win10 SO funktioniert hat??
heart1
gelöstFrageWindows ServerWindows 11
Mehr von heidluheidluWSUS-Installation schlägt fehlheidlu - 10 Kommentare
Heiß diskutiert
Uwe-KernchenWieviel (v)LANs sind "normal"?Uwe-Kernchen - 52 KommentarePagra37Inter-VLAN Routing - Router on a Stick - Windows Server 2022Pagra37 - 38 KommentareAbstrackterSystemimperatorJobsuche: Eventuell übergangsweise als SL-Supporter?AbstrackterSystemimperator - 25 KommentareMysticFoxDEUSA sehen Russland nicht mehr als CyberbedrohungMysticFoxDE - 24 KommentareMilordIT-Großhandel für kleinen IT-DienstleisterMilord - 20 KommentarePeterleBProfessionelle PDF-Bearbeitung für StadtverwaltungPeterleB - 20 KommentareITeinsteigerIst in einem Netzwerk die MAC-Adresse nicht überflüssig?ITeinsteiger - 19 Kommentarejstar5588An die Solo-Selbstständigen, Freelancer, etc. - Wie macht ihr das mit dem Urlaub?jstar5588 - 18 KommentareStefanKittelDie Schwarz-Gruppe hat mal eben die TLD .schwarz gekauftStefanKittel - 17 Kommentaremaulwurf222UBlock Origin deaktiviert Chromemaulwurf222 - 15 Kommentare-WeBu-ODT für Office 365 Family möglich?-WeBu- - 14 KommentareStefanKittelAdmin.exchange.microsoft.com Offline?StefanKittel - 14 KommentareByteArchitectNOC - SoftwareByteArchitect - 13 Kommentare