n0cturne
Feb 06, 2017
view18879
view9
0
Goto Top

Zugriff verweigert (Sicherheitsfilterung)

GermanQuestionWindows ServerMicrosoft
Hallo zusammen,

seit kurzem habe ich das Problem, dass GPOs, die sich auf Clients anwende, nicht mehr greifen.

Mein AD seiht folgendermaßen aus:

Haupt OU
> Clients
> Users

In den jeweiligen OUs habe ich Sicherheitsgruppen, die die jeweiligen Computer- bzw Userobjekte beinhalten.
Ich habe zB eine WSUS GPO in der OU Clients verknüpft und eine Sicherheitsfilterung für die Sicherheitsgruppe mit den Computerobjekten angewendet.

Wenn ich mir nun ein Gruppenrichtlinienergebnis für diese GPO ansehe, wurden alle GPOs, die in der Client OU verknüpft sind, abgelehnt.

Was mache ich falsch? Der DC ist ein Windows Server 2012 R2.
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 328616

Url: https://administrator.de/contentid/328616

Printed on: April 16, 2024 at 06:04 o'clock

9 Comments
Latest comment
Goto Top
Member: agowa338
agowa338 Feb 06, 2017 updated at 22:22:37 (UTC)
Goto Top
Dafür musst du eine Schema anpassung machen und alle existierenden GPOs bearbeiten.
Link: http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfun ...

Für die Bereits existierenden GPOs:
Set-GPPermissions -All -PermissionLevel GpoRead -TargetName (Get-ADGroup "$((Get-ADDomain).DomainSID)-515").Name -TargetType Group -ErrorAction Continue

Schema Anpassung für alle Neuen:
bei "CN=Group-Policy-Container" am Ende von "defaultSecurityDiscriptor" dashier "(A;CI;LCRPLORC;;;DC)" anfügen
Member: n0cturne
n0cturne Feb 06, 2017 updated at 22:27:33 (UTC)
Goto Top
Das habe ich bereits getan.

Der Eintrag sieht folgendermaßen aus:
D:P(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;DA)(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;EA)(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;CO)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;;SY)(A;CI;RPLCLORC;;;AU)(OA;CI;CR;edacfd8f-ffb3-11d1-b41d-00a0c968f939;;AU)(A;CI;LCRPLORC;;;ED)(A;CI;LCRPLORC;;;DC)
Member: emeriks
emeriks Feb 07, 2017 at 07:25:21 (UTC)
Goto Top
Hi,
dieser Einrtrag gilt aber nur für danach erstellte GPO. Bei vorhandenen GPO müssen "Authentifizierte Benutzer" oder "Domänencomputer" mit "Nur Lesen" für diese GPO berechtigt werden.

E.
Member: n0cturne
n0cturne Feb 07, 2017 at 07:35:24 (UTC)
Goto Top
Moin,

auch das ist der Fall. Bin alle GPOs durchgegangen. Wenn ich eine GPO mit mit einer OU verknüpfe, in der sich User befinden, wird die GPO gezogen.
Mitglied: 132272
132272 Feb 07, 2017 updated at 08:14:43 (UTC)
Goto Top
In den jeweiligen OUs habe ich Sicherheitsgruppen, die die jeweiligen Computer- bzw Userobjekte beinhalten.
Wenn ich eine GPO mit mit einer OU verknüpfe, in der sich User befinden, wird die GPO gezogen.
Da scheint ein Missverständnis vorzuliegen:
https://social.technet.microsoft.com/Forums/windowsserver/en-US/0ff8eafc ...
As you know, GPO can only be linked to Site, Domain and OU. In addition, GPO will also not applied to the Group objects by design. It only can be applied to User and Computer objects.
Gruß
heart1
Member: emeriks
emeriks Feb 07, 2017 updated at 10:01:35 (UTC)
Goto Top
Ich vermute auch wie @nachfrage .
In der betreffenden OU müssen die Computer-Objekte sein, nicht die Gruppen.
Member: n0cturne
n0cturne Feb 07, 2017 at 10:33:07 (UTC)
Goto Top
Sicherheitsgruppen und Mitglieder sind in der selben OU.
Mitglied: 132272
132272 Feb 07, 2017 updated at 10:43:43 (UTC)
Goto Top
Wenn ich eine GPO mit mit einer OU verknüpfe, in der sich User befinden, wird die GPO gezogen.
Dann ist in der GPO die Einstellung das Computerrichlinien verarbeitet werden sollen deaktiviert.

Mach doch bitte mal Screenshots und liste alle Einstellungen und Positionen damit wir hier nicht alles hellsehen müssen. Danke.
Member: nEmEsIs
nEmEsIs Feb 07, 2017 at 11:06:01 (UTC)
Goto Top
Hi

oder hattest du vll. Loopback Verarbeitung aktiv ???
z.B. Ersetzten oder Zusammenführen ??

Auch die Reihnfolge spielt eine Rolle.

MfG Nemesis
GermanQuestionWindows ServerMicrosoft