GPO zu ExtensionID finden ?
Hallo,
bei uns ist es so, dass sich der Chef und ich die IT-Aufgaben teilen. Kürzlich war es mal wieder soweit...ein Verschlüsselungstrojaner hat zugeschlagen (zum 3.Mal in 1,5 Jahren und zum 1.Mal in meiner Amtszeit). Nun, die meisten Sachen konnte ich wiederherstellen, aber Cheffe hat schmerzlich gelernt, dass eine Capacity Edition bei der Backupsoftware im Firmenumfeld eher nachteilig sind. Sprich:Es wurde nur 1x pro Woche ein Vollbackup und dazwischen nur inkrementelle Backups gemacht, alles maximal 2 Wochen aufgehoben. Wir konnten zwar die meisten Sachen wiederherstellen, aber er war damals so "genial", vom Domänencontroller nur 2 Ordner zu sichern, die als Netzlaufwerk auf die Clients gemappt werden. Es kam wie es kommen musste: der Trojaner hatte sich natürlich auch am DC vergriffen und ich bin noch immer dabei, die letzten Probleme wieder zu beheben.
Eins davon ist, dass seit dem "Crash" die Gruppenrichtlinien nicht mehr vollständig umgesetzt werden. Momentan betrifft das Gottseidank "nur" ein paar Netzlaufwerke und die freigegebenen Drucker, nervig ist es trotzdem.
Momentaner Stand ist der, dass die GPOs nicht umgesetzt werden, wenn sie Einstellungen im Bereich Benutzerkonfiguration/Einstellungen enthalten. Das ist insbesondere dahingehend blöd,weil dort neben den Netzlaufwerken auch Druckereinstellungen getätigt werden...und von beiden Sachen haben wir mehr als genug. Alle Einstellungen in diesen Bereichen werden einfach ignoriert. Von den in diesem Abschnitt vorhandenen Optionen nutzen wir in erster Linie die Verteilung von Netzwerkfreigaben als Netzlaufwerk und die Verteilung von Druckern.
Wenn ich GPOs anlege und mit gpupdate /force auf den Clients aktualisiere, kriege ich die Meldungen "Fehler beim Anwenden der Scripts-Einstellungen" bzw "Fehler beim Anwenden der Group-Policy Printers-Einstellungen". Ein Blick in die Ereignisanzeige verrät mir, welche Ordner da vermisst werden, doch unter \\DC\SYSVOL\Domänenname\Policies sind sie nicht vorhanden (und auch sonst nirgends auf dem Rechner). Natürlich hab ich schon ein wenig gegoogelt,wonach das Problem wohl am einfachsten zu beheben wäre, indem man die "alte" GPO einfach löscht und neu anlegt. Würde ich auch gerne machen, aber wir haben dutzende GPOs,die sich mit Netzlaufwerken bzw Druckern befassen. Sprich: ich möchte optimalerweise nur das neu erstellen,was auch defekt ist.
Wie finde ich am Einfachsten raus, welche GPO zu der in der Ereignisanzeige angegebenen ExtensionID gehört ?
Ach ja...BS des DC ist Win Server 2012 R2.
bei uns ist es so, dass sich der Chef und ich die IT-Aufgaben teilen. Kürzlich war es mal wieder soweit...ein Verschlüsselungstrojaner hat zugeschlagen (zum 3.Mal in 1,5 Jahren und zum 1.Mal in meiner Amtszeit). Nun, die meisten Sachen konnte ich wiederherstellen, aber Cheffe hat schmerzlich gelernt, dass eine Capacity Edition bei der Backupsoftware im Firmenumfeld eher nachteilig sind. Sprich:Es wurde nur 1x pro Woche ein Vollbackup und dazwischen nur inkrementelle Backups gemacht, alles maximal 2 Wochen aufgehoben. Wir konnten zwar die meisten Sachen wiederherstellen, aber er war damals so "genial", vom Domänencontroller nur 2 Ordner zu sichern, die als Netzlaufwerk auf die Clients gemappt werden. Es kam wie es kommen musste: der Trojaner hatte sich natürlich auch am DC vergriffen und ich bin noch immer dabei, die letzten Probleme wieder zu beheben.
Eins davon ist, dass seit dem "Crash" die Gruppenrichtlinien nicht mehr vollständig umgesetzt werden. Momentan betrifft das Gottseidank "nur" ein paar Netzlaufwerke und die freigegebenen Drucker, nervig ist es trotzdem.
Momentaner Stand ist der, dass die GPOs nicht umgesetzt werden, wenn sie Einstellungen im Bereich Benutzerkonfiguration/Einstellungen enthalten. Das ist insbesondere dahingehend blöd,weil dort neben den Netzlaufwerken auch Druckereinstellungen getätigt werden...und von beiden Sachen haben wir mehr als genug. Alle Einstellungen in diesen Bereichen werden einfach ignoriert. Von den in diesem Abschnitt vorhandenen Optionen nutzen wir in erster Linie die Verteilung von Netzwerkfreigaben als Netzlaufwerk und die Verteilung von Druckern.
Wenn ich GPOs anlege und mit gpupdate /force auf den Clients aktualisiere, kriege ich die Meldungen "Fehler beim Anwenden der Scripts-Einstellungen" bzw "Fehler beim Anwenden der Group-Policy Printers-Einstellungen". Ein Blick in die Ereignisanzeige verrät mir, welche Ordner da vermisst werden, doch unter \\DC\SYSVOL\Domänenname\Policies sind sie nicht vorhanden (und auch sonst nirgends auf dem Rechner). Natürlich hab ich schon ein wenig gegoogelt,wonach das Problem wohl am einfachsten zu beheben wäre, indem man die "alte" GPO einfach löscht und neu anlegt. Würde ich auch gerne machen, aber wir haben dutzende GPOs,die sich mit Netzlaufwerken bzw Druckern befassen. Sprich: ich möchte optimalerweise nur das neu erstellen,was auch defekt ist.
Wie finde ich am Einfachsten raus, welche GPO zu der in der Ereignisanzeige angegebenen ExtensionID gehört ?
Ach ja...BS des DC ist Win Server 2012 R2.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 393984
Url: https://administrator.de/contentid/393984
Ausgedruckt am: 08.11.2024 um 13:11 Uhr
6 Kommentare
Neuester Kommentar
Hi
Überprüfe mal die DCs. Lass auf jeden mal DCDIAG laufen.
E.
Zitat von @Werniman:
Wenn ich GPOs anlege .......
doch unter \\DC\SYSVOL\Domänenname\Policies sind sie nicht vorhanden
Das suggeriert mir, dass die GPO MMC mit einem anderen DC arbeitet, als Du, wenn Du in den SYSVOL-Ordner schaust. Und diese beiden DC haben ein Replikationsproblem untereinander.Wenn ich GPOs anlege .......
doch unter \\DC\SYSVOL\Domänenname\Policies sind sie nicht vorhanden
Überprüfe mal die DCs. Lass auf jeden mal DCDIAG laufen.
E.
Hallo,
Hat schon der erste nicht für ein umdenken gereicht?
Gibt es mehr als einen DC bei euch?
Gruß,
Peter
Hat schon der erste nicht für ein umdenken gereicht?
dass eine Capacity Edition
Was ist denn das?der Trojaner hatte sich natürlich auch am DC vergriffen
Durfte der das denn?Ein Blick in die Ereignisanzeige verrät mir, welche Ordner da vermisst werden, doch unter \\DC\SYSVOL\Domänenname\Policies sind sie nicht vorhanden
Und wie sollen diese nicht vorhandenen GPOs dann angewendet werden und Fehler auslösen?Gibt es mehr als einen DC bei euch?
Wie finde ich am Einfachsten raus, welche GPO zu der in der Ereignisanzeige angegebenen ExtensionID gehört ?
https://social.technet.microsoft.com/Forums/en-US/c3ece6cf-289e-40f4-962 ...Gruß,
Peter
Zitat von @Werniman:
Ich habe inzwischen mit Hilfe der im Link genannten Methode nach der GUID gesucht. Interessanterweise werden beide GUID nicht gefunden. Es existiert also scheinbar keine GPO mehr zu dieser GUID. Bleibt die Frage,wieso die Clients versuchen,auf eine nicht existente GPO zuzugreifen und warum sie das tun.
Weil die GPO im AD noch verlinkt ist.Ich habe inzwischen mit Hilfe der im Link genannten Methode nach der GUID gesucht. Interessanterweise werden beide GUID nicht gefunden. Es existiert also scheinbar keine GPO mehr zu dieser GUID. Bleibt die Frage,wieso die Clients versuchen,auf eine nicht existente GPO zuzugreifen und warum sie das tun.
Eine GPO bestejt aus zwei Teilen: Einem AD-Objekt und einem Verzeichnis im SYSVOL. Das AD-Objekt wird über das AD repliziert. Das Verzeichnis über DFS-R (bzw. NTFRS bei älteren Versionen/Installationen).
Gehe mal in die GPO-MMC. Da sollten einige GPO sein, bei welchen er Dir die Eigenschaften nicht mehr anzeigen kann.
Hallo,
Alles vom Netzt trennen und ein Gerät nach dem anderen säubern bzw. neuaufsetzeb und erst danach wieder alles zusammenstöpseln in der Hoffnung das der Trojaner ausgehungert wurde.
Gruß,
Peter
Zitat von @Werniman:
Die Capacity-Edition ist eine Art abgespeckte Version, die nur 1TB Plattenplatz verwalten kann.
So etwas gibt es tatsächlich? Und kostet nur schlappe ca. 2500 EUR. Da ist ja ein Windows Backup mächtiger.Die Capacity-Edition ist eine Art abgespeckte Version, die nur 1TB Plattenplatz verwalten kann.
sämtliche Server
Du hast also wie vermutet mehrere.aber einige Programme haben auch eigene Domänenkonten.
AuaÜber die Ereignisanzeige konnte man im Nachhinein sehen, dass eine Art Brute Force-Angriff stattgefunden hat, d.h. da waren einige Loginversuche mit Usernamen vermerkt, die es in dieser Art und Weise bei uns nicht gibt: Admin00, Administrador (ja..das kleine d stand da wirklich so!) und einige Vornamen ala "Sharon","Shelley" usw als Username.
Und da Shelly - Sharon eindeutig nicht wirklich Deutsche Namen sind, kann man jetzt Vermuten das eure TS im Internet zur Verfügung stehen (Kein VPN davor?) und jemand aus einen Englisch sprechenden Raum oder gar aus Spanischen oder so wegen dem Administrador (Ja, diese Schreibweise ist je nach Landessprache vollkommen OK, sich versucht hat per Wörterbuch zugang zu verschaffen. Und er hatte erfolg weil das Passwort zu leicht, bekannt oder sonstwas war.Ist denn das Passwort bei diesen Benutzer (wohinter die Verwaltungssoftware der Personalverwaltung steckt) geändert (zwingend!)? Ihr ladet ja jeden ein sich zu versuchen.Dazu gehörten auch einige Ordner auf dem DC, welche erreichbar waren (z.B. der Sysvol-Ordner). Natürlich hat ein Domänenbenutzer auch Zugriff auf einige Daten bzw. Ordner in einer Domäne - wie soll das denn sonst auch funktionieren.
Die Netze selbst sind allerdings physisch nicht getrennt,d.h. ich kann mich problemlos in die jeweils andere Domäne einloggen.
Keine VLAN, kein anderes IP Netz? Hauptsächlich Preiswert oder?Alles vom Netzt trennen und ein Gerät nach dem anderen säubern bzw. neuaufsetzeb und erst danach wieder alles zusammenstöpseln in der Hoffnung das der Trojaner ausgehungert wurde.
Gruß,
Peter