Leserechte für Gruppenrichtlinien global vergeben
Hallo in die Runde,
unter Windows Server 2012 R2 habe ich das Problem, dass einige Gruppenrichtlinien nicht übernommen werden. Im Bericht von gpresult steht als Gund "Zugriff nicht möglich" drin.
Ich habe in mehreren Foren den Hinweis gefunden, dass man das Leserecht für "Authentifizierte Benutzer" setzen soll. Das habe ich testhalber mal für eine Richtlinie gemacht (Richtlinie anklicken -> Delegierung -> Hinzufügen -> Benutzer wählen -> Berechtigung "Lesen". Das hat auch geklappt. Die Richtlinie ist aus der Liste verschwunden. Aber ich müsste das für alle Richtlinien von Hand machen. Wenn ich das in der OU eintrage, wird es nicht auf die Richtlinie vererbt, obwohl "Alle Unterobjekte" angegeben wurde.
Wie kann man das Leserecht global vergeben? Mal abgesehen davon, wie kommt sowas überhaupt zustande? Ich habe in den Rechten noch nie drin rum gefummelt.
unter Windows Server 2012 R2 habe ich das Problem, dass einige Gruppenrichtlinien nicht übernommen werden. Im Bericht von gpresult steht als Gund "Zugriff nicht möglich" drin.
Ich habe in mehreren Foren den Hinweis gefunden, dass man das Leserecht für "Authentifizierte Benutzer" setzen soll. Das habe ich testhalber mal für eine Richtlinie gemacht (Richtlinie anklicken -> Delegierung -> Hinzufügen -> Benutzer wählen -> Berechtigung "Lesen". Das hat auch geklappt. Die Richtlinie ist aus der Liste verschwunden. Aber ich müsste das für alle Richtlinien von Hand machen. Wenn ich das in der OU eintrage, wird es nicht auf die Richtlinie vererbt, obwohl "Alle Unterobjekte" angegeben wurde.
Wie kann man das Leserecht global vergeben? Mal abgesehen davon, wie kommt sowas überhaupt zustande? Ich habe in den Rechten noch nie drin rum gefummelt.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 300457
Url: https://administrator.de/forum/leserechte-fuer-gruppenrichtlinien-global-vergeben-300457.html
Ausgedruckt am: 22.12.2024 um 13:12 Uhr
14 Kommentare
Neuester Kommentar
Hi,
Diesen siehst Du nur über z.B. ADSIEDIT oder wenn Du in der ADUC MMC die erweiterte Ansicht aktivierst.
E.
unter Windows Server 2012 R2 habe ich das Problem, dass einige Gruppenrichtlinien nicht übernommen werden. Im Bericht von gpresult steht als Gund "Zugriff nicht möglich" drin.
Das deutet aber auf einen allgemeinen Fehler bei der Rechtevergabe hin. Also handwerklicher Fehler. Alle Benutzer/Computer, welche eine GPO anwenden sollen, benötigen auch das Recht zum lesen dieser. Alle anderen Benutzer/Computer nicht.Ich habe in mehreren Foren den Hinweis gefunden, dass man das Leserecht für "Authentifizierte Benutzer" setzen soll. Das habe ich testhalber mal für eine Richtlinie gemacht (Richtlinie anklicken -> Delegierung -> Hinzufügen -> Benutzer wählen -> Berechtigung "Lesen". Das hat auch geklappt. Die Richtlinie ist aus der Liste verschwunden.
Was heißt "aus der Liste verschwunden"?Aber ich müsste das für alle Richtlinien von Hand machen. Wenn ich das in der OU eintrage, wird es nicht auf die Richtlinie vererbt, obwohl "Alle Unterobjekte" angegeben wurde.
Das ist logisch, weil die GPO kein Unterobjekt einer OU ist. In der OU ist nur ein gplink-Objekt, welches auf die GPO verweist. Wenn Du Berechtigungen für alle GPO auf diese Weise setzen willst, dann musst Du über den Container "CN=Policies,CN=System,DC=domain,DC=tld" gehen.Diesen siehst Du nur über z.B. ADSIEDIT oder wenn Du in der ADUC MMC die erweiterte Ansicht aktivierst.
E.
Es betrifft also nur GPOs, die rein auf Domänen-Admins angewendet werden sollen.
Geht folgendes?- Alle betreffenden Domänen-Admins in eine OU.
- Eine GPO erstellen und die Standardfilterung belassen (Authentifizierte Benutzer)
- GPO an die OU mit den Domänen-Admins verlinken.
Wird diese GPO für Domänen-Admins angewendet?
Wenn ich Benutzer und GPO in einer OU habe, funktioniert es noch nicht. Verschiebe ich den Rechner auch in diese OU, dann klappt es. Muss also irgendwie mit Rechnerberechtigungen zusammen hängen.
Wenn es ein Berechtigungsproblem wäre, dann würde die Position eines Kontos (Computer oder User, egal) in der OU-Struktur keine Auswirkungen haben.Reden wir hier von einer GPO mit Benutzereinstellungen oder von einer mit Computereinstellungen?
Falls Benutzereinstellungen: Das würde bedeuten, dass auf dem Computer Loopback "ersetzen" aktiv ist.
Falls Computereinstellungen: Was soll das dann mit den Domänen-Admins.
Es sind Benutzereinstellungen. Loopback ist nicht aktiv.
Vielleicht war es mal für diesen Computer aktiv und die GPO wurde einfach gelöscht, ohne eine Gegenrichtlinie zu schreiben.Setze es doch mal explizit auf "deaktiviert". Dann GPO auf dem Computer aktualsieren, Computer wieder in andere OU schieben, booten, dann anmelden.
Verknüpfe ich die GPO in der Unter-OU, wo der Rechner definiert ist, klappt es.
s.o.Das kann nur so zusammenhängen.
Füge ich Domänencomputer bei der Delegierung Leserechte hinzu, funktioniert es nicht.
Du meinst, statt das Computerobjekt in die betreffende OU zu schieben?Füge ich Domänencomputer bei der Delegierung Leserechte hinzu, funktioniert es nicht.
Du meinst, statt das Computerobjekt in die betreffende OU zu schieben?Auch Loopback explizit deaktivieren hat nix gebracht. Dürfe auch nicht drin gewesen sein, da ich in einer VM teste, die ich immer per Snapshot zurück setze. Aber auf die Idee mit der VM testen kam ich erst, weil die Richtlinien nicht alle am realen PC übernommen wurden. Ist also nicht nur an einem Rechner so.
Du willst mir erzählen ...
OU1
- OU2
- Die GPO ist an OU1 verlinkt und die Verlinkung ist aktiv.
- In OU2 ist die GPO-Vererbung nicht deaktiviert.
- Wenn das Computer-Objekt in OU1 ist, dann werden die Benutzereinstellungen der GPO bei Anmeldung an diesem Computer übernommen.
- Und wenn das Computer-Objekt in OU2 ist, dann werden die Benutzereinstellungen der GPO bei Anmeldung an diesem Computer nicht übernommen.
- Ohne weitere Änderungen zwischen 3. und 4.
- An OU2 ist keine GPO verlinkt, welche die Einstellungen der an OU1 verlinkten GPO wieder aufhebt.
Sorry, aber das ist nicht logisch. Entweder machst Du hier - unabsichtlich/unwissendlich - falsche Angaben, oder wir reden aneinander vorbei.