31.07.2025
614
16
0New-GPO : Zugriff verweigert (Ausnahme von HRESULT: 0x80070005 (E_ACCESSDENIED))
Hallo zusammen,
ich habe beim Versuch Gruppenrichtlinien schmerzlichst feststellen müssen, dass ich das nicht mehr kann und darf.
Per GUI bekommen ich ein nettes "Zugriff verweigert" und beim Test mit Powershell den Fehler:
New-GPO : Zugriff verweigert (Ausnahme von HRESULT: 0x80070005 (E_ACCESSDENIED))
Ich darf es weder als Domänen-Admin, noch als lokaler Admin.
Berechtigungen auf SYSVOL und Policies habe ich geprüft, alles soweit Ok ... ich konnte zwei alte Richtlinien löschen, aber neu erstellen oder bearbeiten darf ich nicht.
Hat jemand einen heissen Tipp was ich übersehen könnte?
Wir setzten seid 1 Monat nun die Server Version 2025 ein und meine Erfahrungen beschränken sich aktuell auf 2016.
ich habe beim Versuch Gruppenrichtlinien schmerzlichst feststellen müssen, dass ich das nicht mehr kann und darf.
Per GUI bekommen ich ein nettes "Zugriff verweigert" und beim Test mit Powershell den Fehler:
New-GPO : Zugriff verweigert (Ausnahme von HRESULT: 0x80070005 (E_ACCESSDENIED))
Ich darf es weder als Domänen-Admin, noch als lokaler Admin.
Berechtigungen auf SYSVOL und Policies habe ich geprüft, alles soweit Ok ... ich konnte zwei alte Richtlinien löschen, aber neu erstellen oder bearbeiten darf ich nicht.
Hat jemand einen heissen Tipp was ich übersehen könnte?
Wir setzten seid 1 Monat nun die Server Version 2025 ein und meine Erfahrungen beschränken sich aktuell auf 2016.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 674109
Url: https://administrator.de/forum/gruppenrichtlinien-zugriff-verweigert-windows-server-674109.html
Ausgedruckt am: 01.08.2025 um 09:08 Uhr
16 Kommentare
Neuester Kommentar
- Delegierung unter Gruppenrichtlinienobjekte sieht wie aus?
- adsiedit.msc Rechte unter CN=Policies,CN=System,DC=domain,DC=de gecheckt
1
Domänen-Admins, Richtlinien-Ersteller-Besitzer und SYSTEM.
OK, UAC am Server zufällig für des User aktiviert? Shell explizit elevated gestartet? Eventlog?
Verweigerungen in der Security (adsiedit.msc) im Container CN=Policies,CN=System,DC=domain,DC=de vorhanden, bzw. wie sehen dort die Rechte aus?
Verweigerungen in der Security (adsiedit.msc) im Container CN=Policies,CN=System,DC=domain,DC=de vorhanden, bzw. wie sehen dort die Rechte aus?
1
Die UAC ist aus und wenn ich als Admin ausführe erhalte ich das gleiche Ergebnis.
In der ADSI gibt es auch keine Verweigerungen.
In der ADSI gibt es auch keine Verweigerungen.
Migriertes/übernommenes AD oder Neues? Wie siehst es mit den anderen Dingen aus die ich oben gefragt habe?
Das wird wieder zum Nase bohren hier ...
Das wird wieder zum Nase bohren hier ...
1
Das AD wurde migriert, die Berechtigungen in der ADSI auf Policies sind sauber und Domänen-Admins haben Vollzugriff.
Aktiviere mal das Auditing für "Fehlgeschlagen" auf den Polices Ordner für den User und sämtliche Properties. Teste erneut und checke dann die Audit-Logs im Eventlog.
1
Hab ich, es gibt keinen Eintrag zu meinem Versuch.
Die "Objektzugriffsversuche überwachen" in den lokalen Sicherheitseinstellungen kann ich auch schon nicht anpassen.
Erfolgreich und Fehler sind ausgegraut.
Die "Objektzugriffsversuche überwachen" in den lokalen Sicherheitseinstellungen kann ich auch schon nicht anpassen.
Erfolgreich und Fehler sind ausgegraut.
Logging von "Fehlschlägen" auch wirklich in der Security Policy aktiviert?
1Zitat von @Akrosh:
Die "Objektzugriffsversuche überwachen" in den lokalen Sicherheitseinstellungen kann ich auch schon nicht anpassen.
Erfolgreich und Fehler sind ausgegraut.
Das wird am besten per GPO übergebenDie "Objektzugriffsversuche überwachen" in den lokalen Sicherheitseinstellungen kann ich auch schon nicht anpassen.
Erfolgreich und Fehler sind ausgegraut.
Gibt es mehrere DCs?
So hab es wie im Screenshot mit secpol angepasst, Ergebnis bleibt leider gleich.
Ich bekomme keinen Eintrag.
Ja wir haben aktuell 3 DCs.
Ich bekomme keinen Eintrag.
Ja wir haben aktuell 3 DCs.
Ja wir haben aktuell 3 DCs.
Dann musst du auch die Logs von diesen checken und Logging aktiveren wenn du keinen expliziten DC beim Powershell Command (via -server) angibst. Was passiert wenn du New-GPO auf einem der anderen DCs probierst?So hab es wie im Screenshot mit secpol angepasst, Ergebnis bleibt leider gleich.
Wie siehts mit Neustart aus?1
Ich sehe hier nur meine Logon, Logoff Ereignisse aber keine Fehler beim Zugriff.
Die Reaktion ist bei allen DCs identisch.
Neugestartet haben ich sie alle 3 schon nacheinander aber auch hier erfolglos.
Die Reaktion ist bei allen DCs identisch.
Neugestartet haben ich sie alle 3 schon nacheinander aber auch hier erfolglos.
Erstelle mal testweise einen neuen User, mache ihn Mitglied in den lokalen Administratoren/Domain-Admins, gib den User explizit in der Delegation für Gruppenrichtlinienobjekte an, und gib ihm Vollzugriff auf SYSVOL und teste ob es mit diesem User klappt.
Wenn das klappt wird es wohl ein Problem der Profile der benutzten User sein, wenn nicht, könnte eine potentielle Beschädigung der Security Descriptors in der AD Datenbank der Fall sein. In letzterem Fall checke vorsorglich die Integrität der AD-Datenbank mit ntdsutil => Integrity check to Detect Low Level Active Directory Database Corruption
Wenn das klappt wird es wohl ein Problem der Profile der benutzten User sein, wenn nicht, könnte eine potentielle Beschädigung der Security Descriptors in der AD Datenbank der Fall sein. In letzterem Fall checke vorsorglich die Integrität der AD-Datenbank mit ntdsutil => Integrity check to Detect Low Level Active Directory Database Corruption
1
Der neue Benutzer hat nicht funktioniert.
Nachdem ich die Integrität der Datenbank überprüft habe konnte ich ntds nicht mehr starten und musste den Server neu starten, der seid dem auch nicht mehr hoch fährt.
Nachdem ich die Integrität der Datenbank überprüft habe konnte ich ntds nicht mehr starten und musste den Server neu starten, der seid dem auch nicht mehr hoch fährt.
Also doch AD DB corruption, dann kommt jetzt wohl die Zeit fürs Backup und DSRM (Directory Services Restore Mode).
