Jump to content

Registry Berechtigungen per GPO festlegen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hi,

 

ich hab hier ein kleines Problem und komme einfach nicht weiter. Für eine Software muss ich die Berechtigung für zwei Registry Einträge bei den Win7 64Bit Clients ändern,

 

HKEY_LOCAL_MACHINE\Software\Wow6432Node\PlanCom
und 
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Opus

 

 

dazu habe ich in einer bestehnden GPO, welche auf die OU mit den Clients wirkt, unter

 

Computerkonfiguration -> Richtlinien -> Windows-Einstellungen ->  Sicherheitseinstellungen -> Registrierung

 

 

die Schlüsses eingetragen und die Rechte (jeder, Vollzugriff) gesetzt.

 

Die GPO wird auch abgearbeitet, zumindest steht im GPResult unter Komponentenstatus überall Erfolgreich.

 

Wenn ich aber im Regedit nachschaue sind die Berechtigungen nicht gesetzt und die Softwäre läuft auch nicht richtig.

 

In RSOP.msc werden mir beide Reg Einträge mit einem Kreuz angezeigt und unter Rangfolge steht dann, dass das Richtlinienmodul nicht versucht hat die Einstellungen zu ändern.....

 

Im winlogon.log kann ich auch keine Fehlermeldung erkennen:

 

 

Lokale Kopie von \\XXXX.local\sysvol\XXXX.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf erstellen.
GPLinkDomain

Lokale Kopie von \\XXXX.local\SysVol\XXXX.local\Policies\{D05EB536-FC50-4033-92F1-CF6FFFDBB644}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf erstellen.
GPLinkOrganizationUnit

Gruppenrichtlinienvorlage gpt00000.dom verarbeiten.
Dies ist nicht das letzte Gruppenrichtlinienobjekt.
-------------------------------------------
Mittwoch, 24. April 2013 15:39:18
    Kopieren der Wiederherstellungswerte in die zusammengeführte Richtlinie.
----Konfigurationsmodul wird deinitialisiert...
Gruppenrichtlinienvorlage gpt00001.inf verarbeiten.
-------------------------------------------
Mittwoch, 24. April 2013 15:39:18
----Konfigurationsmodul wurde erfolgreich initialisiert.----
----Konfigurationsvorlageninformationen werden gelesen...
----Gruppenmitgliedschaft wird konfiguriert...
    Konfigurieren von Hauptbenutzer.
    Konfiguration der Gruppenmitgliedschaft wurde erfolgreich abgeschlossen.
----Sicherheitsrichtlinien werden konfiguriert...
    Konfigurieren der Kennwortinformationen.
    Konfigurieren der Informationen der erzwungenen Abmeldung.
    Konfiguration des Systemzugriffs wurde erfolgreich abgeschlossen.
    Konfigurieren von machine\software\microsoft\windows\currentversion\policies\system\consentpromptbehavioradmin.
    Konfigurieren von machine\software\microsoft\windows\currentversion\policies\system\enableinstallerdetection.
    Konfigurieren von machine\software\microsoft\windows\currentversion\policies\system\enablelua.
    Konfigurieren von machine\software\microsoft\windows\currentversion\policies\system\filteradministratortoken.
    Konfigurieren von machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel.
    Die Konfiguration der Registrierungswerte wurde erfolgreich abgeschlossen.
    Konfiguration des Überwachungsprotokolls wurde erfolgreich abgeschlossen.
----Verfügbare Anlagenmodule werden konfiguriert...
    Konfiguration der Anlagenmodule wurde erfolgreich abgeschlossen.
----Konfigurationsmodul wird deinitialisiert...
dies ist das letzte Gruppenrichtlinienobjekt.
Die Richtlinienpropagierung wird im blockierenden Winlogon-Thread aufgerufen. Erstellen Sie einen anderen Thread für langsame Aufgaben.
-------------------------------------------
Mittwoch, 24. April 2013 15:39:18
----Konfigurationsmodul wurde erfolgreich initialisiert.----
----Konfigurationsvorlageninformationen werden gelesen...
----64-Bit-Registrierungsschlüssel werden konfiguriert...
    Konfiguration der Registrierungsschlüssel wurde erfolgreich abgeschlossen.
----32-Bit-Registrierungsschlüssel werden konfiguriert...
    Konfiguration der Registrierungsschlüssel wurde erfolgreich abgeschlossen.
----Konfigurationsmodul wird deinitialisiert...

 

Hat jemand eine Idee wo mein Fehler liegen könnte?

 

Schon mal vielen Dank für eure Hilfe.

 

bye,

Clou

Link to comment

Hallo,

 

werden die Berechtigungen möglicherweise vererbt?

 

Wie ist es denn, wenn die Berechtigungen von Hand mit dem Regedit geändert werden und anschließend nach einiger Zeit wieder nachgeschaut werden, sind die Änderungen noch vorhanden oder sind sie wieder verschwunden?

 

Wie ist es, wenn mit der Reg.exe geändert wird, werden Änderungen sichtbar und bleiben sie?

 

Befinden sich die Rechner im Verwaltungsbereich der GPO?

 

Hebt möglicherweise eine andere GPO die Wirkung wieder auf?

Edited by lefg
Link to comment

Wenn ich die Rechte der Reg Einträge per Regedit ändere, dann läuft die Software und die Rechte bleiben auch erhalten.

In der GPO habe ich die Reg Einträge ausgewählt, mich also durch den RegBaum zu den entsprechenden Reg Einträgen durchgeklickt, da sie auf dem Rechner, mit dem ich die GPO's erstelle, auch vorhanden sind post-64457-0-68030300-1366816798_thumb.png.

Die Rechte sind wie folgt festgelegt:

post-64457-0-93464300-1366817255_thumb.pngpost-64457-0-02866500-1366817261_thumb.pngpost-64457-0-72356300-1366817704_thumb.png

 

Die GPO CP_Win7_64Bit_Clients_1_0 wirkt direkt auf die OU der Clients, und es ist die einzige GPO wo ich Rechte von Reg Einträgen ändere .

post-64457-0-30388800-1366817265_thumb.png

 

Am Client, welcher sich in der OU-Mitarbeiter-PC befindet erscheinen die Recht so:

post-64457-0-84756600-1366817910_thumb.png

:(

 

Edited by Clouseau219
Link to comment

Mach es dir einfach, Testclient installieren, in eine OU packen, auf der kein GPO verlinkt ist, auch die DDP nicht verlinken lassen. Jetzt ein neues GPO erstellen, NTFS-Berechtigungen der Registry korrekt einstellen, auf die OU mit dem Testclient verlinken, Replizierung der DCs manuell anschieben, auf dem Testclient GPUPDATE ausführen, zweimal neu starten. Sind die Berechtigungen korrekt übernommen?

Link to comment
  • 2 months later...
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...