n0cturne
Goto Top

Zugriff verweigert (Sicherheitsfilterung)

Hallo zusammen,

seit kurzem habe ich das Problem, dass GPOs, die sich auf Clients anwende, nicht mehr greifen.

Mein AD seiht folgendermaßen aus:

Haupt OU
> Clients
> Users

In den jeweiligen OUs habe ich Sicherheitsgruppen, die die jeweiligen Computer- bzw Userobjekte beinhalten.
Ich habe zB eine WSUS GPO in der OU Clients verknüpft und eine Sicherheitsfilterung für die Sicherheitsgruppe mit den Computerobjekten angewendet.

Wenn ich mir nun ein Gruppenrichtlinienergebnis für diese GPO ansehe, wurden alle GPOs, die in der Client OU verknüpft sind, abgelehnt.

Was mache ich falsch? Der DC ist ein Windows Server 2012 R2.

Content-ID: 328616

Url: https://administrator.de/forum/zugriff-verweigert-sicherheitsfilterung-328616.html

Ausgedruckt am: 25.12.2024 um 21:12 Uhr

agowa338
agowa338 06.02.2017 aktualisiert um 23:22:37 Uhr
Goto Top
Dafür musst du eine Schema anpassung machen und alle existierenden GPOs bearbeiten.
Link: http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfun ...

Für die Bereits existierenden GPOs:
Set-GPPermissions -All -PermissionLevel GpoRead -TargetName (Get-ADGroup "$((Get-ADDomain).DomainSID)-515").Name -TargetType Group -ErrorAction Continue  

Schema Anpassung für alle Neuen:
bei "CN=Group-Policy-Container" am Ende von "defaultSecurityDiscriptor" dashier "(A;CI;LCRPLORC;;;DC)" anfügen
n0cturne
n0cturne 06.02.2017 aktualisiert um 23:27:33 Uhr
Goto Top
Das habe ich bereits getan.

Der Eintrag sieht folgendermaßen aus:
D:P(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;DA)(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;EA)(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;CO)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;;SY)(A;CI;RPLCLORC;;;AU)(OA;CI;CR;edacfd8f-ffb3-11d1-b41d-00a0c968f939;;AU)(A;CI;LCRPLORC;;;ED)(A;CI;LCRPLORC;;;DC)
emeriks
emeriks 07.02.2017 um 08:25:21 Uhr
Goto Top
Hi,
dieser Einrtrag gilt aber nur für danach erstellte GPO. Bei vorhandenen GPO müssen "Authentifizierte Benutzer" oder "Domänencomputer" mit "Nur Lesen" für diese GPO berechtigt werden.

E.
n0cturne
n0cturne 07.02.2017 um 08:35:24 Uhr
Goto Top
Moin,

auch das ist der Fall. Bin alle GPOs durchgegangen. Wenn ich eine GPO mit mit einer OU verknüpfe, in der sich User befinden, wird die GPO gezogen.
132272
132272 07.02.2017 aktualisiert um 09:14:43 Uhr
Goto Top
In den jeweiligen OUs habe ich Sicherheitsgruppen, die die jeweiligen Computer- bzw Userobjekte beinhalten.
Wenn ich eine GPO mit mit einer OU verknüpfe, in der sich User befinden, wird die GPO gezogen.
Da scheint ein Missverständnis vorzuliegen:
https://social.technet.microsoft.com/Forums/windowsserver/en-US/0ff8eafc ...
As you know, GPO can only be linked to Site, Domain and OU. In addition, GPO will also not applied to the Group objects by design. It only can be applied to User and Computer objects.
Gruß
emeriks
emeriks 07.02.2017 aktualisiert um 11:01:35 Uhr
Goto Top
Ich vermute auch wie @nachfrage .
In der betreffenden OU müssen die Computer-Objekte sein, nicht die Gruppen.
n0cturne
n0cturne 07.02.2017 um 11:33:07 Uhr
Goto Top
Sicherheitsgruppen und Mitglieder sind in der selben OU.
132272
132272 07.02.2017 aktualisiert um 11:43:43 Uhr
Goto Top
Wenn ich eine GPO mit mit einer OU verknüpfe, in der sich User befinden, wird die GPO gezogen.
Dann ist in der GPO die Einstellung das Computerrichlinien verarbeitet werden sollen deaktiviert.

Mach doch bitte mal Screenshots und liste alle Einstellungen und Positionen damit wir hier nicht alles hellsehen müssen. Danke.
nEmEsIs
nEmEsIs 07.02.2017 um 12:06:01 Uhr
Goto Top
Hi

oder hattest du vll. Loopback Verarbeitung aktiv ???
z.B. Ersetzten oder Zusammenführen ??

Auch die Reihnfolge spielt eine Rolle.

MfG Nemesis