Markus1975 0 Geschrieben 14. März 2016 Melden Geschrieben 14. März 2016 Hallo Leute, wir haben in der letzten Woche einen Dienstleister im Haus gehabt der uns bei einer Lizensprüfungs Software Installation unterstützt bzw. uns angeleitet hat diese zu installieren. Dabei wurde eine GPO erstellt die einen User in die Lokale Admin Gruppe der Rechner hinzufügt um die Ausführung des Inverntory Skriptes zu ermöglichen. Heute ist uns aufgefallen das wir als Dom Admin keinen vollen Zugriff mehr auf die DCs haben. Es nicht nicht möglich den Servermanager zu starten, GPOs anzulegen etc. Ich gehe mal davon aus, das bei dem hinzufügen des Users zur Lokalen Gruppe der Administratoren was schief gelaufen ist auf den DCs. Da die DCs ja keine Lokalen Benutzer/Gruppen haben. Kann das sein? Ich hatte den Dienstleister explizit gefragt ob die GPO auch so auf den DCs angewendet werden soll/muss. Antwort war... die müssen ja mit Inventarisiert werden und üblich wäre das auch. Meine Frage an der Stelle, wie bekommen wir das wieder hin? Für Tipps wäre ich sehr dankbar. Gruß Markus
Sunny61 833 Geschrieben 14. März 2016 Melden Geschrieben 14. März 2016 Lass dich vom Dienstleister nicht abwimmeln, der muss das wieder gerade ziehen.
Markus1975 0 Geschrieben 14. März 2016 Autor Melden Geschrieben 14. März 2016 Das ist das eine. Den Dienstleister werden wir uns noch zur Brust nehmen. Frage ist ja ob es daher kommen kann, und wie es wieder bereinigt werden kann.
Sunny61 833 Geschrieben 14. März 2016 Melden Geschrieben 14. März 2016 Ohne Details zum GPO kann ich persönlich nichts dazu schreiben.
testperson 1.859 Geschrieben 14. März 2016 Melden Geschrieben 14. März 2016 Hi, hier was zum Lesen: https://msdn.microsoft.com/de-de/library/cc785631%28v=ws.10%29.aspx Wenn es per GPP Einstellungen gemacht wurde, müsste schon aktiv angehakt worden sein, dass die vorhandenen Mitglieder gelöscht werden. Gruß Jan
Dukel 468 Geschrieben 14. März 2016 Melden Geschrieben 14. März 2016 Evtl. wurden die "Eingeschränkten Gruppen" verwendet und diese löschen bei falscher Bedienung Benutzer aus den Gruppen. Hat der neu berechtigte User Adminrechte auf den DCs?
Markus1975 0 Geschrieben 14. März 2016 Autor Melden Geschrieben 14. März 2016 So sieht die GPO aus. Computerkonfiguration (Aktiviert) Richtlinien Windows-Einstellungen Skripts Start For this GPO, Script order: Nicht konfiguriert Name Parameter Inventory.bat Einstellungen Systemsteuerungseinstellungen Lokale Benutzer und Gruppen Gruppe (Name: Administratoren (integriert)) Administratoren (integriert) (Reihenfolge: 1) Lokale Gruppe Aktion Aktualisieren Eigenschaften Gruppenname Administratoren (integriert) Alle Mitgliederbenutzer löschen Deaktiviert Alle Mitgliedergruppen löschen Deaktiviert Mitglieder hinzufügen Agent Gemeinsam Optionen Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten Nein Element entfernen, wenn es nicht mehr angewendet wird Nein Nur einmalig anwenden Nein Geplante Aufgaben Geplante Aufgabe (Name: Inventory) Inventory (Reihenfolge: 1) Allgemein Aktion Aktualisieren Aufgabe Name Inventory Ausführen Machine\Scripts\Startup\Inventory.bat Geplante Aufgabe wird zu einer bestimmten Zeit ausgeführt Aktiviert Zeitplan 1. Täglich um 10:00. Aufgabe wird gestartet am 07.03.2016. 2. Täglich um 15:00. Aufgabe wird gestartet am 07.03.2016. Einstellungen Aufgabe löschen, wenn sie nicht erneut geplant wird Nein Aufgabe beenden, wenn der Computer nicht mehr im Leerlauf ist Nein Aufgabe bei Akkubetrieb nicht starten Deaktiviert Aufgabe beenden, sobald der Akkubetrieb einsetzt Deaktiviert Computer zum Ausführen der Aufgabe reaktivieren Deaktiviert Gemeinsam Optionen Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten Nein Element entfernen, wenn es nicht mehr angewendet wird Nein Nur einmalig anwenden Nein Benutzerkonfiguration (Aktiviert) Keine Einstellungen definiert Also der Neu Angelegte User hat die Berechtigungen die der Domänenadmin normalerweise hat.
testperson 1.859 Geschrieben 14. März 2016 Melden Geschrieben 14. März 2016 Also laut: Alle Mitgliederbenutzer löschen Deaktiviert Alle Mitgliedergruppen löschen Deaktiviert Werden die vorhandenen Mitglieder der Gruppe nicht gelöscht. Ob da aber jetzt vorher oder nachher nochmal dran gedreht wurde, lässt sich hier nicht erschließen.
Markus1975 0 Geschrieben 14. März 2016 Autor Melden Geschrieben 14. März 2016 An der GPO wurde so nichts weiter verändert.
NorbertFe 2.283 Geschrieben 14. März 2016 Melden Geschrieben 14. März 2016 Evtl. gibst du deinem Kollegen Malte noch Bescheid, dass hier auch diskutiert wird ;) http://social.technet.microsoft.com/Forums/de-DE/active_directoryde/thread/8d79d436-d738-4dce-8118-ecb9431983aa#8d79d436-d738-4dce-8118-ecb9431983aa Bye Norbert
Markus1975 0 Geschrieben 14. März 2016 Autor Melden Geschrieben 14. März 2016 Jo dadurch das ich es später im Büro war, ist das dann wohl so passiert.
NorbertFe 2.283 Geschrieben 14. März 2016 Melden Geschrieben 14. März 2016 (bearbeitet) Sieht wohl so aus. Allerdings ist das Posting bei MS ca. 20 Minuten nach dir hier entstanden. ;) bearbeitet 14. März 2016 von NorbertFe
Markus1975 0 Geschrieben 14. März 2016 Autor Melden Geschrieben 14. März 2016 Klassischer Fall von "nicht Kommunikation" :)
Sunny61 833 Geschrieben 14. März 2016 Melden Geschrieben 14. März 2016 Klassischer Fall von "nicht Kommunikation" :) Dann wäre es jetzt nicht schlecht, im Technet auf diesen Thread hier zu verweisen. ;)
Beste Lösung Markus1975 0 Geschrieben 14. März 2016 Autor Beste Lösung Melden Geschrieben 14. März 2016 Wir haben das Problem dann gelöst. Die GPO abgeschaltet. Und die Domänen Admins wieder den lokalen Admins hinzugefügt. Gibt dann doch die Lokalen Gruppen. Vielen dank für eure Hilfe Gruß Markus
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden