9
Zugriff verweigert (Sicherheitsfilterung)
Hallo zusammen,
seit kurzem habe ich das Problem, dass GPOs, die sich auf Clients anwende, nicht mehr greifen.
Mein AD seiht folgendermaßen aus:
Haupt OU
> Clients
> Users
In den jeweiligen OUs habe ich Sicherheitsgruppen, die die jeweiligen Computer- bzw Userobjekte beinhalten.
Ich habe zB eine WSUS GPO in der OU Clients verknüpft und eine Sicherheitsfilterung für die Sicherheitsgruppe mit den Computerobjekten angewendet.
Wenn ich mir nun ein Gruppenrichtlinienergebnis für diese GPO ansehe, wurden alle GPOs, die in der Client OU verknüpft sind, abgelehnt.
Was mache ich falsch? Der DC ist ein Windows Server 2012 R2.
seit kurzem habe ich das Problem, dass GPOs, die sich auf Clients anwende, nicht mehr greifen.
Mein AD seiht folgendermaßen aus:
Haupt OU
> Clients
> Users
In den jeweiligen OUs habe ich Sicherheitsgruppen, die die jeweiligen Computer- bzw Userobjekte beinhalten.
Ich habe zB eine WSUS GPO in der OU Clients verknüpft und eine Sicherheitsfilterung für die Sicherheitsgruppe mit den Computerobjekten angewendet.
Wenn ich mir nun ein Gruppenrichtlinienergebnis für diese GPO ansehe, wurden alle GPOs, die in der Client OU verknüpft sind, abgelehnt.
Was mache ich falsch? Der DC ist ein Windows Server 2012 R2.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 328616
Url: https://administrator.de/contentid/328616
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
9 Kommentare
Neuester Kommentar
Dafür musst du eine Schema anpassung machen und alle existierenden GPOs bearbeiten.
Link: http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfun ...
Für die Bereits existierenden GPOs:
Schema Anpassung für alle Neuen:
bei "CN=Group-Policy-Container" am Ende von "defaultSecurityDiscriptor" dashier "(A;CI;LCRPLORC;;;DC)" anfügen
Link: http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfun ...
Für die Bereits existierenden GPOs:
Set-GPPermissions -All -PermissionLevel GpoRead -TargetName (Get-ADGroup "$((Get-ADDomain).DomainSID)-515").Name -TargetType Group -ErrorAction Continue Schema Anpassung für alle Neuen:
bei "CN=Group-Policy-Container" am Ende von "defaultSecurityDiscriptor" dashier "(A;CI;LCRPLORC;;;DC)" anfügen
Das habe ich bereits getan.
Der Eintrag sieht folgendermaßen aus:
D:P(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;DA)(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;EA)(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;CO)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;;SY)(A;CI;RPLCLORC;;;AU)(OA;CI;CR;edacfd8f-ffb3-11d1-b41d-00a0c968f939;;AU)(A;CI;LCRPLORC;;;ED)(A;CI;LCRPLORC;;;DC)
Der Eintrag sieht folgendermaßen aus:
D:P(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;DA)(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;EA)(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;CO)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;;SY)(A;CI;RPLCLORC;;;AU)(OA;CI;CR;edacfd8f-ffb3-11d1-b41d-00a0c968f939;;AU)(A;CI;LCRPLORC;;;ED)(A;CI;LCRPLORC;;;DC)
Hi,
dieser Einrtrag gilt aber nur für danach erstellte GPO. Bei vorhandenen GPO müssen "Authentifizierte Benutzer" oder "Domänencomputer" mit "Nur Lesen" für diese GPO berechtigt werden.
E.
dieser Einrtrag gilt aber nur für danach erstellte GPO. Bei vorhandenen GPO müssen "Authentifizierte Benutzer" oder "Domänencomputer" mit "Nur Lesen" für diese GPO berechtigt werden.
E.
Moin,
auch das ist der Fall. Bin alle GPOs durchgegangen. Wenn ich eine GPO mit mit einer OU verknüpfe, in der sich User befinden, wird die GPO gezogen.
auch das ist der Fall. Bin alle GPOs durchgegangen. Wenn ich eine GPO mit mit einer OU verknüpfe, in der sich User befinden, wird die GPO gezogen.
In den jeweiligen OUs habe ich Sicherheitsgruppen, die die jeweiligen Computer- bzw Userobjekte beinhalten.
Wenn ich eine GPO mit mit einer OU verknüpfe, in der sich User befinden, wird die GPO gezogen.
Da scheint ein Missverständnis vorzuliegen:Wenn ich eine GPO mit mit einer OU verknüpfe, in der sich User befinden, wird die GPO gezogen.
https://social.technet.microsoft.com/Forums/windowsserver/en-US/0ff8eafc ...
As you know, GPO can only be linked to Site, Domain and OU. In addition, GPO will also not applied to the Group objects by design. It only can be applied to User and Computer objects.
1
Ich vermute auch wie @nachfrage .
In der betreffenden OU müssen die Computer-Objekte sein, nicht die Gruppen.
In der betreffenden OU müssen die Computer-Objekte sein, nicht die Gruppen.
Sicherheitsgruppen und Mitglieder sind in der selben OU.
Wenn ich eine GPO mit mit einer OU verknüpfe, in der sich User befinden, wird die GPO gezogen.
Dann ist in der GPO die Einstellung das Computerrichlinien verarbeitet werden sollen deaktiviert.Mach doch bitte mal Screenshots und liste alle Einstellungen und Positionen damit wir hier nicht alles hellsehen müssen. Danke.
Hi
oder hattest du vll. Loopback Verarbeitung aktiv ???
z.B. Ersetzten oder Zusammenführen ??
Auch die Reihnfolge spielt eine Rolle.
MfG Nemesis
oder hattest du vll. Loopback Verarbeitung aktiv ???
z.B. Ersetzten oder Zusammenführen ??
Auch die Reihnfolge spielt eine Rolle.
MfG Nemesis
