Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Leserechte für Gruppenrichtlinien global vergeben

Mitglied: bremserfhfb

bremserfhfb (Level 1) - Jetzt verbinden

31.03.2016 um 13:01 Uhr, 525 Aufrufe, 14 Kommentare

Hallo in die Runde,

unter Windows Server 2012 R2 habe ich das Problem, dass einige Gruppenrichtlinien nicht übernommen werden. Im Bericht von gpresult steht als Gund "Zugriff nicht möglich" drin.

Ich habe in mehreren Foren den Hinweis gefunden, dass man das Leserecht für "Authentifizierte Benutzer" setzen soll. Das habe ich testhalber mal für eine Richtlinie gemacht (Richtlinie anklicken -> Delegierung -> Hinzufügen -> Benutzer wählen -> Berechtigung "Lesen". Das hat auch geklappt. Die Richtlinie ist aus der Liste verschwunden. Aber ich müsste das für alle Richtlinien von Hand machen. Wenn ich das in der OU eintrage, wird es nicht auf die Richtlinie vererbt, obwohl "Alle Unterobjekte" angegeben wurde.

Wie kann man das Leserecht global vergeben? Mal abgesehen davon, wie kommt sowas überhaupt zustande? Ich habe in den Rechten noch nie drin rum gefummelt.
Mitglied: emeriks
31.03.2016 um 15:49 Uhr
Hi,
unter Windows Server 2012 R2 habe ich das Problem, dass einige Gruppenrichtlinien nicht übernommen werden. Im Bericht von gpresult steht als Gund "Zugriff nicht möglich" drin.
Das deutet aber auf einen allgemeinen Fehler bei der Rechtevergabe hin. Also handwerklicher Fehler. Alle Benutzer/Computer, welche eine GPO anwenden sollen, benötigen auch das Recht zum lesen dieser. Alle anderen Benutzer/Computer nicht.

Ich habe in mehreren Foren den Hinweis gefunden, dass man das Leserecht für "Authentifizierte Benutzer" setzen soll. Das habe ich testhalber mal für eine Richtlinie gemacht (Richtlinie anklicken -> Delegierung -> Hinzufügen -> Benutzer wählen -> Berechtigung "Lesen". Das hat auch geklappt. Die Richtlinie ist aus der Liste verschwunden.
Was heißt "aus der Liste verschwunden"?

Aber ich müsste das für alle Richtlinien von Hand machen. Wenn ich das in der OU eintrage, wird es nicht auf die Richtlinie vererbt, obwohl "Alle Unterobjekte" angegeben wurde.
Das ist logisch, weil die GPO kein Unterobjekt einer OU ist. In der OU ist nur ein gplink-Objekt, welches auf die GPO verweist. Wenn Du Berechtigungen für alle GPO auf diese Weise setzen willst, dann musst Du über den Container "CN=Policies,CN=System,DC=domain,DC=tld" gehen.
Diesen siehst Du nur über z.B. ADSIEDIT oder wenn Du in der ADUC MMC die erweiterte Ansicht aktivierst.

E.
Bitte warten ..
Mitglied: bremserfhfb
05.04.2016 um 08:38 Uhr
Das deutet aber auf einen allgemeinen Fehler bei der Rechtevergabe hin. Also handwerklicher Fehler. Alle Benutzer/Computer, welche eine GPO anwenden sollen, benötigen auch das Recht zum lesen dieser. Alle anderen Benutzer/Computer nicht.
Und genau da macht Windows offensichtlich einen Fehler. Inzwischen tippe ich sogar auf einen Bug.
Nach weiterem rum probieren bin ich inzwischen darauf gestoßen, dass das Problem nur bei Domänen-Admins besteht. Diese stehen sowieso schon in der Liste der Delegierungen und somit scheint kein korrekter Berechtigungseintrag zu erfolgen. Wende ich die GPO auf andere Gruppen oder Nutzer an, so wird ein korrekter Eintrag in den Delegierungen erzeugt und alles funktioniert wunderbar. Es betrifft also nur GPOs, die rein auf Domänen-Admins angewendet werden sollen.

Ich habe in mehreren Foren den Hinweis gefunden, dass man das Leserecht für "Authentifizierte Benutzer" setzen soll. Das habe ich testhalber mal für eine Richtlinie gemacht (Richtlinie anklicken -> Delegierung -> Hinzufügen -> Benutzer wählen -> Berechtigung "Lesen". Das hat auch geklappt. Die Richtlinie ist aus der Liste verschwunden.
Was heißt "aus der Liste verschwunden"?
Ich meine aus der Liste der "Zugriff nicht möglich"


Aber ich müsste das für alle Richtlinien von Hand machen. Wenn ich das in der OU eintrage, wird es nicht auf die Richtlinie vererbt, obwohl "Alle Unterobjekte" angegeben wurde.
Das ist logisch, weil die GPO kein Unterobjekt einer OU ist. In der OU ist nur ein gplink-Objekt, welches auf die GPO verweist. Wenn Du Berechtigungen für alle GPO auf diese Weise setzen willst, dann musst Du über den Container "CN=Policies,CN=System,DC=domain,DC=tld" gehen.
Diesen siehst Du nur über z.B. ADSIEDIT oder wenn Du in der ADUC MMC die erweiterte Ansicht aktivierst.
Falls es irgendwie möglich ist, will ich das auf jeden Fall vermeiden. Es hat ja durchaus einen Sinn, dass ein Nutzer der außerhalb des Gültigkeitskontext sitzt, die Richtlinie auch nicht lesen darf. Bisher habe ich zwar tatsächlich in den betroffenen Richtlinien "Authentifizierte Benutzer" eingetragen, will das aber gerne wieder raus haben. Nur habe ich noch keine Lösung gefunden.
Bitte warten ..
Mitglied: emeriks
05.04.2016 um 08:49 Uhr
Es betrifft also nur GPOs, die rein auf Domänen-Admins angewendet werden sollen.
Geht folgendes?
  • Alle betreffenden Domänen-Admins in eine OU.
  • Eine GPO erstellen und die Standardfilterung belassen (Authentifizierte Benutzer)
  • GPO an die OU mit den Domänen-Admins verlinken.

Wird diese GPO für Domänen-Admins angewendet?
Bitte warten ..
Mitglied: bremserfhfb
05.04.2016 um 09:32 Uhr
Die Standardfilterung funktioniert. Nur wenn ich auf Domänen-Admins filtere klappt es nicht.
Bitte warten ..
Mitglied: emeriks
05.04.2016 um 09:41 Uhr
Meine "Lösung" war als pragmatische Ansatz gedacht.
Bitte warten ..
Mitglied: bremserfhfb
05.04.2016 um 12:12 Uhr
Wenn ich Benutzer und GPO in einer OU habe, funktioniert es noch nicht. Verschiebe ich den Rechner auch in diese OU, dann klappt es. Muss also irgendwie mit Rechnerberechtigungen zusammen hängen.
Bitte warten ..
Mitglied: emeriks
05.04.2016 um 13:48 Uhr
Wenn ich Benutzer und GPO in einer OU habe, funktioniert es noch nicht. Verschiebe ich den Rechner auch in diese OU, dann klappt es. Muss also irgendwie mit Rechnerberechtigungen zusammen hängen.
Wenn es ein Berechtigungsproblem wäre, dann würde die Position eines Kontos (Computer oder User, egal) in der OU-Struktur keine Auswirkungen haben.

Reden wir hier von einer GPO mit Benutzereinstellungen oder von einer mit Computereinstellungen?
Falls Benutzereinstellungen: Das würde bedeuten, dass auf dem Computer Loopback "ersetzen" aktiv ist.
Falls Computereinstellungen: Was soll das dann mit den Domänen-Admins.
Bitte warten ..
Mitglied: bremserfhfb
05.04.2016 um 14:05 Uhr
Es sind Benutzereinstellungen. Loopback ist nicht aktiv.

Verknüpfe ich die GPO in der Unter-OU, wo der Rechner definiert ist, klappt es. Füge ich Domänencomputer bei der Delegierung Leserechte hinzu, funktioniert es nicht.
Bitte warten ..
Mitglied: emeriks
05.04.2016 um 14:10 Uhr
Es sind Benutzereinstellungen. Loopback ist nicht aktiv.
Vielleicht war es mal für diesen Computer aktiv und die GPO wurde einfach gelöscht, ohne eine Gegenrichtlinie zu schreiben.
Setze es doch mal explizit auf "deaktiviert". Dann GPO auf dem Computer aktualsieren, Computer wieder in andere OU schieben, booten, dann anmelden.

Verknüpfe ich die GPO in der Unter-OU, wo der Rechner definiert ist, klappt es.
s.o.
Das kann nur so zusammenhängen.

Füge ich Domänencomputer bei der Delegierung Leserechte hinzu, funktioniert es nicht.
Du meinst, statt das Computerobjekt in die betreffende OU zu schieben?
Bitte warten ..
Mitglied: bremserfhfb
05.04.2016 um 15:45 Uhr
Füge ich Domänencomputer bei der Delegierung Leserechte hinzu, funktioniert es nicht.
Du meinst, statt das Computerobjekt in die betreffende OU zu schieben?
Ja, schiebe ich den Computer in die OU, wo die Richtlinie definiert ist, wird sie auch übernommen. Ist der Computer in einer Unter-OU definiert, wird der Zugriff verweigert. Vererbung ist aktiviert.

Auch Loopback explizit deaktivieren hat nix gebracht. Dürfe auch nicht drin gewesen sein, da ich in einer VM teste, die ich immer per Snapshot zurück setze. Aber auf die Idee mit der VM testen kam ich erst, weil die Richtlinien nicht alle am realen PC übernommen wurden. Ist also nicht nur an einem Rechner so.
Bitte warten ..
Mitglied: emeriks
05.04.2016 um 16:10 Uhr
Füge ich Domänencomputer bei der Delegierung Leserechte hinzu, funktioniert es nicht.
Du meinst, statt das Computerobjekt in die betreffende OU zu schieben?
Ja, schiebe ich den Computer in die OU, wo die Richtlinie definiert ist, wird sie auch übernommen. Ist der Computer in einer Unter-OU definiert, wird der Zugriff verweigert. Vererbung ist aktiviert.
Sorry, aber Deine Antwort passt nicht zu meiner Frage.

Auch Loopback explizit deaktivieren hat nix gebracht. Dürfe auch nicht drin gewesen sein, da ich in einer VM teste, die ich immer per Snapshot zurück setze. Aber auf die Idee mit der VM testen kam ich erst, weil die Richtlinien nicht alle am realen PC übernommen wurden. Ist also nicht nur an einem Rechner so.

Du willst mir erzählen ...

OU1
- OU2

  1. Die GPO ist an OU1 verlinkt und die Verlinkung ist aktiv.
  2. In OU2 ist die GPO-Vererbung nicht deaktiviert.
  3. Wenn das Computer-Objekt in OU1 ist, dann werden die Benutzereinstellungen der GPO bei Anmeldung an diesem Computer übernommen.
  4. Und wenn das Computer-Objekt in OU2 ist, dann werden die Benutzereinstellungen der GPO bei Anmeldung an diesem Computer nicht übernommen.
  5. Ohne weitere Änderungen zwischen 3. und 4.
  6. An OU2 ist keine GPO verlinkt, welche die Einstellungen der an OU1 verlinkten GPO wieder aufhebt.

Sorry, aber das ist nicht logisch. Entweder machst Du hier - unabsichtlich/unwissendlich - falsche Angaben, oder wir reden aneinander vorbei.
Bitte warten ..
Mitglied: bremserfhfb
06.04.2016 um 08:11 Uhr
Leider ist es exakt so. Deshalb sage ich ja, es scheint sich um einen Bug zu handeln. Das passiert auch nur, wenn es sich um eine GPO handelt, die für Domänen-Admins ist. Setze ich stattdessen "Authentifizierte Benutzer" ein, so wird sie übernommen.
Der Benutzer ist in OU1 definiert, der Computer in OU2.

Du darfst es gerne mal ausprobieren. Ich nutze Server 2012 R2 Standard mit aktuellen Updates. Wäre tatsächlich mal interessant, ob das generell so ist. Aber ich weiß nicht, was da falsch sein könnte.
Bitte warten ..
Mitglied: emeriks
06.04.2016 um 08:29 Uhr
Blöde Frage vielleicht: Aber Du bist Dir sicher, dass der Benutzer, mit welchem Du testest, dann auch Mitglied der Domänen-Admins ist?
Bitte warten ..
Mitglied: bremserfhfb
06.04.2016 um 09:11 Uhr
Jupps, ist er. Ich bin jetzt aber einen Schritt weiter. Ich muss explizit auch bei der Sicherheitsfilterung Domänencomputer eintragen (auch wenn es eine reine Benutzerregel ist). Wenn ich Domänencomputer bei der Delegierung zum Lesen berechtige, reicht es seltsamerweise nicht aus.
Bitte warten ..
Ähnliche Inhalte
Windows Server
PolicyDefinitions Global bereit stellen
Frage von 77282Windows Server4 Kommentare

Hallo zusammen, neulich hatte ich einen Fehler auf meinen Windows 7 Clients ,der besagte das nicht alle ADMX/ADML Dateien ...

Windows Server

Fehlermeldung "DotNet Memory Management Global "

Frage von xXEddiXxWindows Server5 Kommentare

Hallo, wir betreiben bei uns das DMS "ELO". leider bekomme ich auf dem ELO-Server (Server 2008 R2) und auf ...

Outlook & Mail

Outlook 2010 Autovervollständigung global ändern

gelöst Frage von Becker1234Outlook & Mail13 Kommentare

Hallo zusammen, Die Autovervollständigung bei Outlook funktioniert ja folgendermaßen: E-Mail einmal eingeben und beim nächsten mal ist die gespeichert. ...

Ubuntu

Ubuntu - Leserecht bei Datei mit unbekanntem Eigentümer hinzufügen

Frage von Looser27Ubuntu1 Kommentar

Moin zusammen, beim Versuch ein Backup von meiner Linux-Maschine zu ziehen scheitert dieses jedesmal mit folgender Meldung: Zugriff verweigert ...

Neue Wissensbeiträge
Off Topic
Europawahl 2019 - Ein Statement der Jugend
Information von Frank vor 8 StundenOff Topic2 Kommentare

Dies ist ein offener Brief. Ein Statement. Von einem großen Teil der Youtuber-Szene. Am Wochenende sind die EU-Wahlen und ...

Off Topic
Europawahl 2019
Information von Frank vor 1 TagOff Topic32 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Humor (lol)

Minister wollen offenbar Ausweispflicht für .de-Domain

Information von Kraemer vor 1 TagHumor (lol)7 Kommentare

Zitat von Golem.de: Die zuständigen Verbraucherschutzminister fordern einem Medienbericht zufolge offenbar eine Ausweispflicht für .de-Domains. Das soll Betrugsfälle mit ...

Off Topic
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 3 TagenOff Topic5 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Heiß diskutierte Inhalte
Off Topic
Europawahl 2019
Information von FrankOff Topic31 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Ausbildung
Wie sind eure Erfahrungen als oder mit Ü30 Azubis für Fachinformatik Systemintegration?
Frage von CaptainProcessorAusbildung26 Kommentare

Tagchen allerseits :) Mir steht in wenigen Monaten eine Veränderung bevor, da mein AG seine IT auslagert und ich ...

Router & Routing
ZyXEL ZyWALL USG 20 Routing
Frage von Oggy01Router & Routing14 Kommentare

Hallo, und wieder habe ich ein Problem mit dem Routing. Bis vor ein paar Tagen habe ich das mit ...

Virtualisierung
VServer (Linux): Absichern, verschlüsseln usw
Frage von mrserious73Virtualisierung11 Kommentare

Hallo zusammen, ich möchte einen Linux-Vserver mieten und diesen absichern. Darunter verstehe ich in diesem Falle hauptsächlich: Dafür sorgen, ...