9
Local File System Permission über GPO
Hallo zusammen,
ich hab ein großes Problem bei der Erteilung von Berechtigungen über GPO für das File System und die Registry.
Ich muss es tun, um Usern bei Programmstart Schreibrechte auf den Ordner mitzugeben.
Vorgegangen bin ich über den GPO-Pfad: ComputerConfiguration -> Policies-> Windows Settings -> Security Settings.
Unter FileSystem und unter Registry habe ich der AD-Gruppe jeweils Schreibzugriffe auf lokale Ordner in der Windows10-Umgebung erteilt.
Zugeordnet hab ich die GPO der OU, in der die Computer Konten sind.
Leider kein Erfolg....Was mach ich falsch? Ich hab mehrere Anleitungen im Netz gefunden, alle gehen gleich vor, aber bei mir klappt es leider nicht.
Fehlt dem User, mit dem ich mich an der Win10-Rechner anmelde, möglicherweise die Berechtigung, um Berechtigungen zu ändern??
Ich hoffe, ihr habt eine Idee....
Vielen Dank!
ich hab ein großes Problem bei der Erteilung von Berechtigungen über GPO für das File System und die Registry.
Ich muss es tun, um Usern bei Programmstart Schreibrechte auf den Ordner mitzugeben.
Vorgegangen bin ich über den GPO-Pfad: ComputerConfiguration -> Policies-> Windows Settings -> Security Settings.
Unter FileSystem und unter Registry habe ich der AD-Gruppe jeweils Schreibzugriffe auf lokale Ordner in der Windows10-Umgebung erteilt.
Zugeordnet hab ich die GPO der OU, in der die Computer Konten sind.
Leider kein Erfolg....Was mach ich falsch? Ich hab mehrere Anleitungen im Netz gefunden, alle gehen gleich vor, aber bei mir klappt es leider nicht.
Fehlt dem User, mit dem ich mich an der Win10-Rechner anmelde, möglicherweise die Berechtigung, um Berechtigungen zu ändern??
Ich hoffe, ihr habt eine Idee....
Vielen Dank!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 566684
Url: https://administrator.de/contentid/566684
Ausgedruckt am: 17.11.2024 um 13:11 Uhr
9 Kommentare
Neuester Kommentar
Moin,
wie immer bei solchen Problemen: Was sagt gpresult auf den betroffenen Rechnern? Wird die GPO überhaupt aufgeführt? Wird sie angenommen und fehlerfrei ausgeführt?
Liebe Grüße
Erik
wie immer bei solchen Problemen: Was sagt gpresult auf den betroffenen Rechnern? Wird die GPO überhaupt aufgeführt? Wird sie angenommen und fehlerfrei ausgeführt?
Liebe Grüße
Erik
Hey erikro,
laut "gpresult /R /scope:computer" wird die GPO verweigert wegen: "Filterung: verweigert (Sicherheit)"
Ok, das ist natürlich schlecht...
EDIT: Hab als Berechtigte Gruppe wieder "Authenticated Users" hinzugefügt. Jetzt wird die GPO zwar ausgeführt, aber trotzdem bewirkt sie nichts...
laut "gpresult /R /scope:computer" wird die GPO verweigert wegen: "Filterung: verweigert (Sicherheit)"
Ok, das ist natürlich schlecht...
EDIT: Hab als Berechtigte Gruppe wieder "Authenticated Users" hinzugefügt. Jetzt wird die GPO zwar ausgeführt, aber trotzdem bewirkt sie nichts...
Moin.
Drück dich doch bitte klar aus. Du hast also die Standardberechtigungen verändert und authenticated users entrechtet. Nun hast Du diese Gruppe wieder hinzugefügt - aber mit welchen Rechten? Ok, vermutlich "lesen" - das reicht ja auch. Du musst sicherstellen, dass jedoch das Recht "GPO übernehmen" zumindest an die Gruppe von Computern vergeben ist, die diese GPO umsetzen sollen.
Auch solltest Du beschreiben, welche Ordner das sind.
Drück dich doch bitte klar aus. Du hast also die Standardberechtigungen verändert und authenticated users entrechtet. Nun hast Du diese Gruppe wieder hinzugefügt - aber mit welchen Rechten? Ok, vermutlich "lesen" - das reicht ja auch. Du musst sicherstellen, dass jedoch das Recht "GPO übernehmen" zumindest an die Gruppe von Computern vergeben ist, die diese GPO umsetzen sollen.
Auch solltest Du beschreiben, welche Ordner das sind.
Moin,
leider schreibt TO nicht welche GPO er angefasst hat. Die Standard Policies sollte man man nicht ändern. Und wenn dann sollte man sie sicherheitshalber sichern oder kopieren.
Man Ersteller stattdessen neue Policies.
Gruss Penny.
leider schreibt TO nicht welche GPO er angefasst hat. Die Standard Policies sollte man man nicht ändern. Und wenn dann sollte man sie sicherheitshalber sichern oder kopieren.
Man Ersteller stattdessen neue Policies.
Gruss Penny.
Moin,
Lass mal die beiden Parameter bei gpresult weg und nimm stattdessen
Genau.
Das hast Du wie festgestellt?
Und das heißt was?
Hilfreich wäre auch zu wissen, was Du genau in die GPO eingetragen hast. Steht da vielleicht sowas wie %username% in der Richtlinie?
Liebe Grüße
Erik
Zitat von @Rabauke84:
laut "gpresult /R /scope:computer" wird die GPO verweigert wegen: "Filterung: verweigert (Sicherheit)"
laut "gpresult /R /scope:computer" wird die GPO verweigert wegen: "Filterung: verweigert (Sicherheit)"
Lass mal die beiden Parameter bei gpresult weg und nimm stattdessen
gpresult /V /H result.htmlOk, das ist natürlich schlecht...
Genau.
EDIT: Hab als Berechtigte Gruppe wieder "Authenticated Users" hinzugefügt. Jetzt wird die GPO zwar ausgeführt,
Das hast Du wie festgestellt?
aber trotzdem bewirkt sie nichts...
Und das heißt was?
Hilfreich wäre auch zu wissen, was Du genau in die GPO eingetragen hast. Steht da vielleicht sowas wie %username% in der Richtlinie?
Liebe Grüße
Erik
Hi,
Viel wichtiger ist es zu wissen, dass man damit rein technisch keine "Berechtigungen hinzufügt" sondern die ganze ACL austauscht. Wenn ich also will, dass "Gruppe1" dort schreiben darf, dann muss ich in der GPO die komplette ACL so abbilden, wie sie aussehen soll, wenn ich manuell die Berechtigung für "Gruppe1" hinzufügen würde. Sprich alle bisher geltenden Einträge müssen auch in diese ACL rein, wenn sie weiterhin gelten sollen.
E.
Zitat von @erikro:
Hilfreich wäre auch zu wissen, was Du genau in die GPO eingetragen hast. Steht da vielleicht sowas wie %username% in der Richtlinie?
Das geht bei dieser Richtlinie gar nicht.Hilfreich wäre auch zu wissen, was Du genau in die GPO eingetragen hast. Steht da vielleicht sowas wie %username% in der Richtlinie?
Viel wichtiger ist es zu wissen, dass man damit rein technisch keine "Berechtigungen hinzufügt" sondern die ganze ACL austauscht. Wenn ich also will, dass "Gruppe1" dort schreiben darf, dann muss ich in der GPO die komplette ACL so abbilden, wie sie aussehen soll, wenn ich manuell die Berechtigung für "Gruppe1" hinzufügen würde. Sprich alle bisher geltenden Einträge müssen auch in diese ACL rein, wenn sie weiterhin gelten sollen.
E.
Ja, so meinte ich das. Das sollte er gar nicht annehmen.
