haschked
04.12.2024 um 11:33:13 Uhr
view342
view5
0
Goto Top

Gruppenrichtlinie Computerobjekte

FrageMicrosoftWindows Server
Hallo,
ich habe mir eine GPO gebaut wo über die GPPs im Computerteil eine Datei ersetzt wird und anschl. ein Dienst neu gestartet wird.
Wenn ich das Computerobjekt direkt in die Sicherheitsfilterung packe wird es nach der nächsten Richtlinienverarbeitung angewendet.
Wenn ich aber im Sicherheitsfilter der GPO eine Gruppe packe und innerhalb der Gruppe ein Computerobjekt hinzufüge dann wird es nicht verarbeitet. Ich vermute der Computer muss erst neu angemeldet werden oder?

Jemand evtl. eine Idee wie ich das sonst lösen könnte? Es handelt sich um Serversysteme. Und jedes Computerobjekt einzeln in den Sicherheitsfilter zu packen ist leider sehr mühsam......

Danke und VG
Dennis
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 669971

Url: https://administrator.de/contentid/669971

Ausgedruckt am: 04.12.2024 um 21:12 Uhr

5 Kommentare
Neuester Kommentar
Goto Top
Oskar44
Oskar44 04.12.2024 aktualisiert um 14:39:19 Uhr
Goto Top
Wenn ich aber im Sicherheitsfilter der GPO eine Gruppe packe und innerhalb der Gruppe ein Computerobjekt hinzufüge dann wird es nicht verarbeitet.
Ich vermute der Computer muss erst neu angemeldet werden oder?
Abmelden reicht nicht, er muss entweder neu gestartet oder das Computer-Kerberos-Ticket gelöscht werden. Damit ein Computer das Token für die Gruppenmitgliedschaft erhält muss er sein Kerberos Ticket erst erneuern, wenn man den Computer nach dem Hinzufügen zur Gruppe zwischenzeitlich nicht neu gestartet hat oder das Kerberos Tickt gelöscht hat.

Also den Computer entweder neu starten oder das Kerberos Ticket des Computers in einer elevated Shell mit psexec und dem "SYSTEM" Account löschen und ein gpudpate hinterher schieben.
psexec -s klist purge
gpupdate /force
Wenn kein psexec gewünscht ist, geht alternativ auch ein Scheduled Task mt SYSTEM-Rechten welcher den klist purge Befehl ausführt.
HaschkeD
HaschkeD 04.12.2024 um 12:21:42 Uhr
Goto Top
Danke f. d. Antwort.
OK, Mist face-sad
Neu starten ist bei den Serversystemen nicht ganz so einfach......
Ne Möglichkeit das Remote per psexec auf den Systemen auszuführen?
Per Scheduled Task über GPP hätte ich ja wieder das gleiche Problem das er entweder Reboot braucht oder das Kerberos Ticket gelöscht werden muss.
Oskar44
Oskar44 04.12.2024 aktualisiert um 12:52:52 Uhr
Goto Top
Zitat von @HaschkeD:
Neu starten ist bei den Serversystemen nicht ganz so einfach......
Jeder Server muss irgendwann mal neu gestartet werden, einfach ins Wartungsintervall verlegen oder Gruppen in der GPO nutzen in denen die Server bereits schon vorher Mitglied sind.
Ne Möglichkeit das Remote per psexec auf den Systemen auszuführen?
Klar direkt über psexec machen, das kann auch remote genutzt werden.
Oder ne Powershell Session öffnen. Enter-PSSession oder Invoke-Command oder WMI und Win32_Process

Per Scheduled Task über GPP hätte ich ja wieder das gleiche Problem das er entweder Reboot braucht oder das Kerberos Ticket gelöscht werden muss.
Nicht wenn du es direkt drauf pushst z.B. per Skript, oder die Computer alle einmalig per Powershell Skript in die GPO packst => Mit Get-ADComputer die Computer holen und mit Set-GPPermission in der GPO hinzufügen.
foreach ($computer in Get-ADComputer -Filter "Operatingsystem -like '*Server*' and enabled -eq 'true'" -Properties OperatingSystem){  
    Set-GPPermission -Name "Blablub" -TargetName $computer.Name -TargetType Computer -PermissionLevel GpoApply  
}
heart1
emeriks
emeriks 04.12.2024 aktualisiert um 14:35:54 Uhr
Goto Top
Ne Möglichkeit das Remote per psexec auf den Systemen auszuführen?
Wie @Oskar44 schreibt: Über psexec

psexec \\servername -s klist purge

Edit:
Oder erst ne CMD starten und dann in dieser das klist und gpupdate ausführen. Wichtig ist nur Schalter "-s" - als SYSTEM.

psexec \\servername -s cmd
CamelCase
CamelCase 04.12.2024 um 16:43:56 Uhr
Goto Top
Ich nutze gerne Invoke-CommandAs

Invoke-CommandAs -ComputerName servername -AsSystem -ScriptBlock {klist purge}
FrageMicrosoftWindows Server
Mehr von HaschkeDHaschkeDOutlook - Exchange Online - Cache ModeHaschkeD - 3 KommentareHaschkeDServer 2025 LizenzierungHaschkeD - 2 KommentareHaschkeDTeams Web - Steuerung übergeben funktioniert nichtHaschkeD - 2 KommentareHaschkeDRaumpostfächer - Stellvertreter bekommt auch den TerminHaschkeD
Heiß diskutiert
johann.liebertMicrosoft 365 Business Premium - Lohnt sich das?johann.liebert - 27 KommentareDatenreiseBewusste Vertriebslügen im Gesundheitswesen?Datenreise - 26 KommentareDecker2022Windows Server 2022 mit 2 DC und Hyper-V Replica und OpenSenseDecker2022 - 23 KommentareaxlemoxleWelche WLAN Hardwareaxlemoxle - 21 KommentareJudgelgOutlook-Verschlüsselungsoption deaktivierenJudgelg - 21 KommentareniraxxHP Rack-Server mit Schienen ausbauenniraxx - 17 KommentarecramtroniSimple Excel Frage Format wird nicht geändertcramtroni - 16 KommentareStefanl93Access Datenbank für Elektrische GeräteStefanl93 - 16 KommentareKlaus2024Mikrotik RB750GR3 hEX hinter FritzBox 7490Klaus2024 - 16 KommentareJollyJumper83SMTP Error: Could not authenticateJollyJumper83 - 15 KommentareU08154711Frage zu Wireguard config: DNS und allowed IPsU08154711 - 14 Kommentarepimp1310Powershell Skript: XML-Dateien durchsuchen und vergleichenpimp1310 - 14 Kommentare