Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zugriff verweigert (Sicherheitsfilterung)

Mitglied: n0cturne

n0cturne (Level 1) - Jetzt verbinden

06.02.2017 um 23:10 Uhr, 2742 Aufrufe, 9 Kommentare, 1 Danke

Hallo zusammen,

seit kurzem habe ich das Problem, dass GPOs, die sich auf Clients anwende, nicht mehr greifen.

Mein AD seiht folgendermaßen aus:

Haupt OU
> Clients
> Users

In den jeweiligen OUs habe ich Sicherheitsgruppen, die die jeweiligen Computer- bzw Userobjekte beinhalten.
Ich habe zB eine WSUS GPO in der OU Clients verknüpft und eine Sicherheitsfilterung für die Sicherheitsgruppe mit den Computerobjekten angewendet.

Wenn ich mir nun ein Gruppenrichtlinienergebnis für diese GPO ansehe, wurden alle GPOs, die in der Client OU verknüpft sind, abgelehnt.

Was mache ich falsch? Der DC ist ein Windows Server 2012 R2.
Mitglied: agowa338
06.02.2017, aktualisiert um 23:22 Uhr
Dafür musst du eine Schema anpassung machen und alle existierenden GPOs bearbeiten.
Link: http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfun ...

Für die Bereits existierenden GPOs:
01.
Set-GPPermissions -All -PermissionLevel GpoRead -TargetName (Get-ADGroup "$((Get-ADDomain).DomainSID)-515").Name -TargetType Group -ErrorAction Continue
Schema Anpassung für alle Neuen:
bei "CN=Group-Policy-Container" am Ende von "defaultSecurityDiscriptor" dashier "(A;CI;LCRPLORC;;;DC)" anfügen
Bitte warten ..
Mitglied: n0cturne
06.02.2017, aktualisiert um 23:27 Uhr
Das habe ich bereits getan.

Der Eintrag sieht folgendermaßen aus:
D:P(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;DA)(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;EA)(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;CO)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;;SY)(A;CI;RPLCLORC;;;AU)(OA;CI;CR;edacfd8f-ffb3-11d1-b41d-00a0c968f939;;AU)(A;CI;LCRPLORC;;;ED)(A;CI;LCRPLORC;;;DC)
Bitte warten ..
Mitglied: emeriks
07.02.2017 um 08:25 Uhr
Hi,
dieser Einrtrag gilt aber nur für danach erstellte GPO. Bei vorhandenen GPO müssen "Authentifizierte Benutzer" oder "Domänencomputer" mit "Nur Lesen" für diese GPO berechtigt werden.

E.
Bitte warten ..
Mitglied: n0cturne
07.02.2017 um 08:35 Uhr
Moin,

auch das ist der Fall. Bin alle GPOs durchgegangen. Wenn ich eine GPO mit mit einer OU verknüpfe, in der sich User befinden, wird die GPO gezogen.
Bitte warten ..
Mitglied: 132272
07.02.2017, aktualisiert um 09:14 Uhr
In den jeweiligen OUs habe ich Sicherheitsgruppen, die die jeweiligen Computer- bzw Userobjekte beinhalten.
Wenn ich eine GPO mit mit einer OU verknüpfe, in der sich User befinden, wird die GPO gezogen.
Da scheint ein Missverständnis vorzuliegen:
https://social.technet.microsoft.com/Forums/windowsserver/en-US/0ff8eafc ...
01.
As you know, GPO can only be linked to Site, Domain and OU. In addition, GPO will also not applied to the Group objects by design. It only can be applied to User and Computer objects.
Gruß
Bitte warten ..
Mitglied: emeriks
07.02.2017, aktualisiert um 11:01 Uhr
Ich vermute auch wie @nachfrage .
In der betreffenden OU müssen die Computer-Objekte sein, nicht die Gruppen.
Bitte warten ..
Mitglied: n0cturne
07.02.2017 um 11:33 Uhr
Sicherheitsgruppen und Mitglieder sind in der selben OU.
Bitte warten ..
Mitglied: 132272
07.02.2017, aktualisiert um 11:43 Uhr
Wenn ich eine GPO mit mit einer OU verknüpfe, in der sich User befinden, wird die GPO gezogen.
Dann ist in der GPO die Einstellung das Computerrichlinien verarbeitet werden sollen deaktiviert.

Mach doch bitte mal Screenshots und liste alle Einstellungen und Positionen damit wir hier nicht alles hellsehen müssen. Danke.
Bitte warten ..
Mitglied: nEmEsIs
07.02.2017 um 12:06 Uhr
Hi

oder hattest du vll. Loopback Verarbeitung aktiv ???
z.B. Ersetzten oder Zusammenführen ??

Auch die Reihnfolge spielt eine Rolle.

MfG Nemesis
Bitte warten ..
Ähnliche Inhalte
Windows 7
Domainanmeldung - Zugriff verweigert
gelöst Frage von Jannis92Windows 71 Kommentar

Moin Moin, wir befinden uns gerade in der Vorbereitung für einen Hardware Rollout. Somit werden aktuell alle Rechner mit ...

Windows 7
PsExec Zugriff Verweigert
gelöst Frage von agowa338Windows 76 Kommentare

Hallo, Ich habe zur zeit das Problem, dass ich mehrere Clients habe, die weder in einer Domäne sind, noch ...

Festplatten, SSD, Raid
Netzlaufwerk - Zugriff verweigert
Frage von Jannis92Festplatten, SSD, Raid1 Kommentar

Moin Administratoren, ich habe ein Problem mit unserem Share-Laufwerk und benötige mal einen kleinen Denkanstoß. Wir stellen auf unserem ...

Windows 7
Ordner Zugriff verweigert
gelöst Frage von chnie123Windows 72 Kommentare

Hallo Zusammen, Folgende Situatuion: ein Nutzer aus der Domäne kann auf einen freigegeben Ordner nicht Zugreifen. Es kommt die ...

Neue Wissensbeiträge
Windows 10
Windows 10 Mai 2019 Update (Version 1903) ist da
Information von kgborn vor 2 StundenWindows 10

Nur ein kurzer Infosplitter: Microsoft hat die Nacht (21. Mai 2019) das Funktionsupdate auf Windows 10 Version 1903 freigegeben. ...

E-Mail

Newsletter: Unread News - IT News in Byte Länge

Tipp von franktaylor vor 14 StundenE-Mail8 Kommentare

Hallo, würde gerne auf einen Newsletter hinweisen, den ich heute per Zufall gefunden und mit euch gerne teilen möchte: ...

Outlook & Mail

Outlook 2016 stürzt ab, wenn man ein (at)- Zeichen im Text einer neuen E-Mail schreibt

Tipp von Enriqe vor 1 TagOutlook & Mail4 Kommentare

Bei uns in der Firma häuften sich die Fälle, bei denen sich Outlook kommentarlos verabschiedet, wenn man ein - ...

Google Android

Google sperrt Android-Updates und den Play Store für Huawei

Information von Deepsys vor 2 TagenGoogle Android9 Kommentare

Das finde ich schon ein starkes Stück, Trump der Welt Diktator. So kann man mit einem Dekret mal eben ...

Heiß diskutierte Inhalte
Windows Server
Passwortänderung an RODC möglich?
Frage von DexthaWindows Server23 Kommentare

Hallo, ich habe einen RODC, auf welchen ich über ldaps (Web-Seite mit php7) Passwortänderungen durchführen möchte. Ist das grundsätzlich ...

DNS
DNS fragt falsche ip zuerst ab
gelöst Frage von recoldDNS23 Kommentare

Hallo zusammen, wollte mal fragen, was mit meiner DNS falsch ist? der A eintrag 88.48.118.88 sollte auf den ts3 ...

Windows 10
Windows am MAC
gelöst Frage von LeeX01Windows 1019 Kommentare

Guten Abend zusammen, ich habe gerade ein Macbook Pro vor mir welches ich mit einem Windows 10 to go ...

Windows Server
RDP als Citrix Alternative
gelöst Frage von samreinWindows Server18 Kommentare

Hallo zusammen, ich bin neu hier und das ist mein erster Beitrag. Ich bin Einzeladmin und wir setzen bei ...