Zugriff verweigert (Sicherheitsfilterung)
Hallo zusammen,
seit kurzem habe ich das Problem, dass GPOs, die sich auf Clients anwende, nicht mehr greifen.
Mein AD seiht folgendermaßen aus:
Haupt OU
> Clients
> Users
In den jeweiligen OUs habe ich Sicherheitsgruppen, die die jeweiligen Computer- bzw Userobjekte beinhalten.
Ich habe zB eine WSUS GPO in der OU Clients verknüpft und eine Sicherheitsfilterung für die Sicherheitsgruppe mit den Computerobjekten angewendet.
Wenn ich mir nun ein Gruppenrichtlinienergebnis für diese GPO ansehe, wurden alle GPOs, die in der Client OU verknüpft sind, abgelehnt.
Was mache ich falsch? Der DC ist ein Windows Server 2012 R2.
seit kurzem habe ich das Problem, dass GPOs, die sich auf Clients anwende, nicht mehr greifen.
Mein AD seiht folgendermaßen aus:
Haupt OU
> Clients
> Users
In den jeweiligen OUs habe ich Sicherheitsgruppen, die die jeweiligen Computer- bzw Userobjekte beinhalten.
Ich habe zB eine WSUS GPO in der OU Clients verknüpft und eine Sicherheitsfilterung für die Sicherheitsgruppe mit den Computerobjekten angewendet.
Wenn ich mir nun ein Gruppenrichtlinienergebnis für diese GPO ansehe, wurden alle GPOs, die in der Client OU verknüpft sind, abgelehnt.
Was mache ich falsch? Der DC ist ein Windows Server 2012 R2.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 328616
Url: https://administrator.de/forum/zugriff-verweigert-sicherheitsfilterung-328616.html
Ausgedruckt am: 25.12.2024 um 21:12 Uhr
9 Kommentare
Neuester Kommentar
Dafür musst du eine Schema anpassung machen und alle existierenden GPOs bearbeiten.
Link: http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfun ...
Für die Bereits existierenden GPOs:
Schema Anpassung für alle Neuen:
bei "CN=Group-Policy-Container" am Ende von "defaultSecurityDiscriptor" dashier "(A;CI;LCRPLORC;;;DC)" anfügen
Link: http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfun ...
Für die Bereits existierenden GPOs:
Set-GPPermissions -All -PermissionLevel GpoRead -TargetName (Get-ADGroup "$((Get-ADDomain).DomainSID)-515").Name -TargetType Group -ErrorAction Continue
Schema Anpassung für alle Neuen:
bei "CN=Group-Policy-Container" am Ende von "defaultSecurityDiscriptor" dashier "(A;CI;LCRPLORC;;;DC)" anfügen
In den jeweiligen OUs habe ich Sicherheitsgruppen, die die jeweiligen Computer- bzw Userobjekte beinhalten.
Wenn ich eine GPO mit mit einer OU verknüpfe, in der sich User befinden, wird die GPO gezogen.
Da scheint ein Missverständnis vorzuliegen:Wenn ich eine GPO mit mit einer OU verknüpfe, in der sich User befinden, wird die GPO gezogen.
https://social.technet.microsoft.com/Forums/windowsserver/en-US/0ff8eafc ...
As you know, GPO can only be linked to Site, Domain and OU. In addition, GPO will also not applied to the Group objects by design. It only can be applied to User and Computer objects.
Wenn ich eine GPO mit mit einer OU verknüpfe, in der sich User befinden, wird die GPO gezogen.
Dann ist in der GPO die Einstellung das Computerrichlinien verarbeitet werden sollen deaktiviert.Mach doch bitte mal Screenshots und liste alle Einstellungen und Positionen damit wir hier nicht alles hellsehen müssen. Danke.