Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zugriff verweigert (Sicherheitsfilterung)

Mitglied: n0cturne

n0cturne (Level 1) - Jetzt verbinden

06.02.2017 um 23:10 Uhr, 4193 Aufrufe, 9 Kommentare, 1 Danke

Hallo zusammen,

seit kurzem habe ich das Problem, dass GPOs, die sich auf Clients anwende, nicht mehr greifen.

Mein AD seiht folgendermaßen aus:

Haupt OU
> Clients
> Users

In den jeweiligen OUs habe ich Sicherheitsgruppen, die die jeweiligen Computer- bzw Userobjekte beinhalten.
Ich habe zB eine WSUS GPO in der OU Clients verknüpft und eine Sicherheitsfilterung für die Sicherheitsgruppe mit den Computerobjekten angewendet.

Wenn ich mir nun ein Gruppenrichtlinienergebnis für diese GPO ansehe, wurden alle GPOs, die in der Client OU verknüpft sind, abgelehnt.

Was mache ich falsch? Der DC ist ein Windows Server 2012 R2.
Mitglied: agowa338
06.02.2017, aktualisiert um 23:22 Uhr
Dafür musst du eine Schema anpassung machen und alle existierenden GPOs bearbeiten.
Link: http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfun ...

Für die Bereits existierenden GPOs:
01.
Set-GPPermissions -All -PermissionLevel GpoRead -TargetName (Get-ADGroup "$((Get-ADDomain).DomainSID)-515").Name -TargetType Group -ErrorAction Continue
Schema Anpassung für alle Neuen:
bei "CN=Group-Policy-Container" am Ende von "defaultSecurityDiscriptor" dashier "(A;CI;LCRPLORC;;;DC)" anfügen
Bitte warten ..
Mitglied: n0cturne
06.02.2017, aktualisiert um 23:27 Uhr
Das habe ich bereits getan.

Der Eintrag sieht folgendermaßen aus:
D:P(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;DA)(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;EA)(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;CO)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;;SY)(A;CI;RPLCLORC;;;AU)(OA;CI;CR;edacfd8f-ffb3-11d1-b41d-00a0c968f939;;AU)(A;CI;LCRPLORC;;;ED)(A;CI;LCRPLORC;;;DC)
Bitte warten ..
Mitglied: emeriks
07.02.2017 um 08:25 Uhr
Hi,
dieser Einrtrag gilt aber nur für danach erstellte GPO. Bei vorhandenen GPO müssen "Authentifizierte Benutzer" oder "Domänencomputer" mit "Nur Lesen" für diese GPO berechtigt werden.

E.
Bitte warten ..
Mitglied: n0cturne
07.02.2017 um 08:35 Uhr
Moin,

auch das ist der Fall. Bin alle GPOs durchgegangen. Wenn ich eine GPO mit mit einer OU verknüpfe, in der sich User befinden, wird die GPO gezogen.
Bitte warten ..
Mitglied: 132272
07.02.2017, aktualisiert um 09:14 Uhr
In den jeweiligen OUs habe ich Sicherheitsgruppen, die die jeweiligen Computer- bzw Userobjekte beinhalten.
Wenn ich eine GPO mit mit einer OU verknüpfe, in der sich User befinden, wird die GPO gezogen.
Da scheint ein Missverständnis vorzuliegen:
https://social.technet.microsoft.com/Forums/windowsserver/en-US/0ff8eafc ...
01.
As you know, GPO can only be linked to Site, Domain and OU. In addition, GPO will also not applied to the Group objects by design. It only can be applied to User and Computer objects.
Gruß
Bitte warten ..
Mitglied: emeriks
07.02.2017, aktualisiert um 11:01 Uhr
Ich vermute auch wie @nachfrage .
In der betreffenden OU müssen die Computer-Objekte sein, nicht die Gruppen.
Bitte warten ..
Mitglied: n0cturne
07.02.2017 um 11:33 Uhr
Sicherheitsgruppen und Mitglieder sind in der selben OU.
Bitte warten ..
Mitglied: 132272
07.02.2017, aktualisiert um 11:43 Uhr
Wenn ich eine GPO mit mit einer OU verknüpfe, in der sich User befinden, wird die GPO gezogen.
Dann ist in der GPO die Einstellung das Computerrichlinien verarbeitet werden sollen deaktiviert.

Mach doch bitte mal Screenshots und liste alle Einstellungen und Positionen damit wir hier nicht alles hellsehen müssen. Danke.
Bitte warten ..
Mitglied: nEmEsIs
07.02.2017 um 12:06 Uhr
Hi

oder hattest du vll. Loopback Verarbeitung aktiv ???
z.B. Ersetzten oder Zusammenführen ??

Auch die Reihnfolge spielt eine Rolle.

MfG Nemesis
Bitte warten ..
Ähnliche Inhalte
Festplatten, SSD, Raid
Netzlaufwerk - Zugriff verweigert
Frage von Jannis92Festplatten, SSD, Raid1 Kommentar

Moin Administratoren, ich habe ein Problem mit unserem Share-Laufwerk und benötige mal einen kleinen Denkanstoß. Wir stellen auf unserem ...

Netzwerkmanagement
Fehlermeldung: Zugriff verweigert
gelöst Frage von HannodyNetzwerkmanagement9 Kommentare

Hallo, kann mir jemand sagen, warum ich den Befehl: Enter-PSSession -ComputerName herkules in ISE (als Administrator) ausführe, bekomme ich ...

Windows 7
Ordner Zugriff verweigert
gelöst Frage von chnie123Windows 72 Kommentare

Hallo Zusammen, Folgende Situatuion: ein Nutzer aus der Domäne kann auf einen freigegeben Ordner nicht Zugreifen. Es kommt die ...

Windows Server
GroupPolicy Sicherheitsfilterung
gelöst Frage von thaefligerWindows Server7 Kommentare

Guten Tag zusammen ich zerraufe mir gerade die Haare an einer Gruppenrichtlinie Ich möchte mit einer Gruppenrichtlinie das Ausführen ...

Neue Wissensbeiträge
Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 1 TagWindows Installation9 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 2 TagenDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 2 TagenWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

E-Mail
SPF beim Versenden testen
Tipp von StefanKittel vor 4 TagenE-Mail3 Kommentare

Hallo, wenn man einen SPF für einen Exchange, oder anderen Mail-Server, konfigiruert muss man das ja auch testen. Ganz ...

Heiß diskutierte Inhalte
Server-Hardware
Hetzner Dedicated-Server für Terminalserver - RDSH 5 Benutzer gesucht
gelöst Frage von ra-user10Server-Hardware36 Kommentare

Hallo liebe IT-Fachleute! Ich möchte für unseren kleinen Betrieb einen Terminalserver aufsetzen und dafür das Angebot von Hetzner nutzen. ...

Switche und Hubs
PoE in erster und zweiter Instanz
Frage von moinmoin2016Switche und Hubs25 Kommentare

Moin. Ich habe versucht zum folgenden Sachverhalt ein Beitrag zu suchen, konnte aber nichts passendes finden. Folgender Sachverhalt: Ein ...

Hyper-V
Wie berechne ich mir die Anzahl der vCPU für HYPER-V aus?
Frage von samet22Hyper-V20 Kommentare

Hallo, bitte nicht schimpfen, ich habe mich nur selber gerade etwas verwirrt :D Wie berechne ich mir aus wieviele ...

Entwicklung
Powershell-Skript und Organisationseinheiten auskludieren
gelöst Frage von informatikkfmEntwicklung13 Kommentare

Hallo, ich habe ein Powershell-Skript, ähnlich wie das folgende. Ich möchte dabei, dass alle Benutzer unterhalb der OUs in ...