RealJoe 10 Geschrieben 3. August 2009 Melden Teilen Geschrieben 3. August 2009 Hallo zusammen, ich bräuchte mal wieder Hilfe. Durch einen dummen Fehler, habe ich mir eine meiner GPOs gesperrt. Ich wollte nur einem Testnutzer die Lesenrechte verweigern un etwas zu testen. Dummer Weise stand die Auswahl noch auf Authentifizierte Benutzer. Nach dem klick auf OK war die GPO nicht mehr aufzurufen. Dahinter steht nun ein "Durchfahrt Verboten" Schild und Zugriff verweigert. Ist ja soweit auch klar. Ich habe die Rechte im SYSVOL Ordner bereits wieder glatt ziehen können. Leider hat dies keine Auswirkungen auf die GPMC hier bleibt alles unverändert und ich komme da nicht dran. Gibt es eine möglichkeit wie Besitz übernehmen, um die Richtlinie wieder bearbeiten zu könnnen? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 3. August 2009 Melden Teilen Geschrieben 3. August 2009 Hi, Du kannst als Domain Admin / Enterprise Admin mittels LDP den ACL Eintrag für die Authentifizierten Benutzer entfernen. Starte dazu LDP, verbinde Dich mit dem Admin Account auf den Domänen Kontext, navigiere zu dem betroffenen Gruppenrichtlinienobjekt unter "CN={GUID},CN=Policies,CN=System,DC=domain,DC=tld", dann Rechtsklick auf das Objekt, Security Descriptor anzeigen / bearbeiten. Hier kannst Du die ACL bearbeiten - entferne einfach den Eintrag der Authentifizierten Benutzer. ADSIEdit geht in dieser Konstellation nicht, daher müßtest Du LDP benutzen. Viele Grüße olc Zitieren Link zu diesem Kommentar
solinske 10 Geschrieben 3. August 2009 Melden Teilen Geschrieben 3. August 2009 dsacl kannst du auch dazu nutzen. Ist aber sicher etwas kryptischer als LDP Zitieren Link zu diesem Kommentar
RealJoe 10 Geschrieben 4. August 2009 Autor Melden Teilen Geschrieben 4. August 2009 Erstmal Danke für die Antworten. Ist das denn tatsächlich ein Unterschied? Wenn ich die ACL über die DSA.msc in System/Policies CN anpasse, ist das Ergebnis doch das selbe oder? Ich versuche aber trotzdem noch die LDP variante. Das Objekt ist aber leider immer noch nicht über die GPMC verwaltbar. Hinter der Policy, welche ich in der DSA.msc sehen kann, steht "unbekannt" Ich hatte schon über einen System State Restore nachgedacht, bin da aber lieber vorsichtig und teste das erstmal an einer Test AD. Ich nutze hierfür CBMR, gibt es da Erfahrungswerte? Ich habe damit noch nie Teile einer ADS restored, die Frage ist ja auch, was CBMR da macht im "überschreiben-Modus" keine Ahnung ob das eine autorisierende Rücksicherung ist, die ich ja nicht will. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 4. August 2009 Melden Teilen Geschrieben 4. August 2009 Hi, ja, es macht einen Unterschied, ob Du die GPMC oder ein reines LDAP Interface benutzt. Es werden einfach gesagt andere Schnittstellen angesprochen. Wenn es mit LDP nicht geklappt hat, dann würde ich erst einmal vermuten, daß Du etwas nicht ganz korrekt durchgeführt hast ;) - denn dieses Vorgehen funktioniert im Normalfall (mußte es leider ab und an schon durchführen). Beschreibe doch noch einmal genau die Schritte, die Du mit LDP durchgeführt hast. Viele Grüße olc Zitieren Link zu diesem Kommentar
RealJoe 10 Geschrieben 4. August 2009 Autor Melden Teilen Geschrieben 4. August 2009 HI OLC, ich muß gestehen, dass ich dieses Tool bis dato nicht verwendet habe. ich habe es also gestartet >Connection->Bind --> Orgaadmin angemeldet dann kommt halt ne menge im rechten fenter, womit ich nichts anfangen kann. >Browse ->Security-->Security Descripter --> DN = cn={4036E367-42C5-4DDC-8BA2-6B _4615179},cn=policies,cn=system,dc=Domain,dc=de wieder ne menge infos mit denen ich wenig anfangen kann. Wo und wie kann ich denn dann einstellungsänderungen mitgeben? Danke nochmal Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 4. August 2009 Melden Teilen Geschrieben 4. August 2009 Hi, Du mußt in der Anzeige des Security Descriptors einfach den ACE (Access Control Entry) der Authentifizierten Benutzer mit dem "Deny" wieder entfernen. Also a) den Eintrag markieren und b) dann auf "Delete ACE" klicken. Danach bestätigst Du die Änderung in LDP und startest am besten die GPMC neu. Vom Prinzip her hast Du hier noch einmal eine kurze Anleitung dazu: Error message if you try to enable the telephony server on a domain controller that is running Windows Server 2008: "No call appearance available" Du mußt natürlich die korrekte GPO bearbeiten und die Authentifizierten Benutzer, nicht die im KB-Artikel genannten Einstellungen. Es sollte nur als Beispiel für das genaue Vorgehen herhalten. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 4. August 2009 Melden Teilen Geschrieben 4. August 2009 hallo, ich hatte mal so ähnliches. Ich habe auf einem DC die GPMC deinstalliert und konnte dann die GPO mit dem "Durchfahrt verboten" wieder editieren. Kostet 5 Minuten, die GPMC deinstallieren und danach wieder installieren. Vielleicht ein Versuch wert cu blub Zitieren Link zu diesem Kommentar
RealJoe 10 Geschrieben 5. August 2009 Autor Melden Teilen Geschrieben 5. August 2009 Danke für die Tips, bin dann doch dazu übergegangen das teil zu restoren. Alles andere war mir zu viel Hick Hack. Ist eigentlich easy, wenn mann weiß wie es geht. Wiederherstellen von gelöscht GRUPPENRICHTLINIENOBJEKT Richtliniendateien in Active Directory auf einem Computer mit Windows 2000 Server Für den Fall, dass das mal jemand macht, Vorsicht, der restore wirkt zunächst erfolglos, da einem im Berichtsfenster zunächst nichts angezeigt wird. Wenn man die neue GPO allerdings bearbeitet, ist alles da. Das hätte ich anfangs wissen müssen, denn die GPO Daten waren ja noch da und ich konnnte ja auch darauf zugreifen und hatte sie auch kopiert, bin aber aufgrund des leeren Berichts davon ausgegengen, das das so nicht geht. Geht aber anscheinend doch. Also wieder mal viel lärm um nichts. Ich glaub ich schule bald um auf Schweinezucht, das ist wenigstens was ehrliches. :-) Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 5. August 2009 Melden Teilen Geschrieben 5. August 2009 Hi, das im KB-Artikel beschriebene Vorgehen stellt lediglich den SYSVOL-Teil wieder her - das AD-Objekt bleibt davon unberührt. Mir ist also nicht ganz klar, wie Du mit der Wiederherstellung des SYSVOL-Teils die Berechtigung wiederhergestellt haben möchtest. ;) Ich vermute eher, daß die LDP Aktionen erfolgreich waren, Du nur vergessen hast die GPMC zu aktualisieren (Taste F5) oder wie oben empfohlen neu zu starten. Viele Grüße olc Zitieren Link zu diesem Kommentar
RealJoe 10 Geschrieben 6. August 2009 Autor Melden Teilen Geschrieben 6. August 2009 Ich habe doch eine neue erstellt, und den alten Inhalt hineinkopiert. Das steht doch auch so im Artikel. Kann dir also nicht ganz folgen. Wurmen tut mich das aber schon, das das anders nicht ging. Ich habe aber noch immer die möglichkeit mit LDP etwas herumzuspielen, das werde ich dann auch machen. Auf ner Testdomäne hab ich das Problem ja schon nachgestellt, und die selben Dinge, wie beschrieben, durchgeführt. Das ist ja nun auch schon 2 Tage her, und die GPO ist immer noch nicht bearbeitbar. Das spricht irgendwie gegen LDP oder? Ich schließe aber nicht aus, das ich da etwas falsch gemacht habe.Da komm ich aber noch dahinter. Für den Moment war das Restore für mich die richtige lösung, hatte leider keine Zeit noch weiter rum zu probieren. Ich werde das aber nachholen. ;) Danke Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.