Zum Inhalt wechseln


Foto

GPP wird seit gestern nur bei "Authentifizierten Benutzer" übernommen


  • Bitte melde dich an um zu Antworten
28 Antworten in diesem Thema

#1 rt1970

rt1970

    Member

  • 295 Beiträge

 

Geschrieben 16. Juni 2016 - 09:37

Hallo!

 

Konfiguration:

SBS 2011 und Windows 7 Pro x64 Clients

 

Problem (seit gestern):

Richtlinien bei denen ich "Authentifizierte Benutzer" gelöscht habe und eine Sicherheitsgruppe (User) hinzugefügt habe werden nicht angewendet.

Ich möchte aber dass Laufwerke und Drucker bestimmten Benutzergruppen zur Verfügung gestellt werden.

 

Bis vorgestern ging alles einwandfrei. Seit gestern Mittag verschwinden Laufwerke und Drucker bei einigen(?) Computern...

Die Windows-Updates des SBS habe ich erst vorhin installiert. Daran sollte es nicht liegen...

Die Clients installieren immer Mittags ihre Updates...

 

GPResult bringt bei den betroffenen GPOs folgende Meldung z.B.:

{41B3ECDE-2AC3-48E1-8629-969D580475B2}   Zugriff nicht möglich

 

Via Explorer komme ich sowohl über \\Servernamen als auch \\Domaene.local auf die Richtlinie...

Ereignisanzeige ist auch Clean...

 

Ist irgendein Update gekommen, das die Richtlinien, die User bzw. Gruppen zugeordnet sind, nicht mehr gehen?

 

Gruß René


Bearbeitet von rt1970, 16. Juni 2016 - 09:39.


#2 NorbertFe

NorbertFe

    Expert Member

  • 30.833 Beiträge

 

Geschrieben 16. Juni 2016 - 09:54

Kurzer Blick in die heutigen Threads...
http://www.mcseboard...7529-kb3159398/

http://www.mcseboard...t-mehr-möglich/

Make something i***-proof and they will build a better i***.


#3 rt1970

rt1970

    Member

  • 295 Beiträge

 

Geschrieben 16. Juni 2016 - 10:09

Oh man.... Peinlich! Hab ich im falschen Thema nachgesehen...

 

Also MUSS im Sicherheitsfilter die "Authentifizierter User" rein?

Und unter Delegierung dann die Usergruppe?

 

Oder verstehe ich da was falsch?



#4 NorbertFe

NorbertFe

    Expert Member

  • 30.833 Beiträge

 

Geschrieben 16. Juni 2016 - 10:09

Ja, das verstehst du nicht falsch. ;)

Make something i***-proof and they will build a better i***.


#5 rt1970

rt1970

    Member

  • 295 Beiträge

 

Geschrieben 16. Juni 2016 - 10:21

@NorbertFe

:D

 

Geht aber nicht... Wenn ich die "authentifizierten User" aus der Delegierung löschen will, sind sie auch im Sicherheitsfilter raus :(

Wie kann ich nun die Richtlinie nur bestimmten Usern/Gruppen zuweisen???

 

Ach gefunden!

Falsch herum gedacht!

"Betroffen sind wohl Benutzer-GPOs die einen Sicherheitsfilter haben. Workarround ist die Gruppe Authentifizierte Benutzer in die Delegierung (nicht beim Sicherheitsfilter!) mit Lesen-Recht hinzuzufügen."

von

http://www.mcseboard...8/#entry1305493


Bearbeitet von rt1970, 16. Juni 2016 - 10:28.


#6 Schweizerin

Schweizerin

    Junior Member

  • 114 Beiträge

 

Geschrieben 16. Juni 2016 - 10:27

Ja, das verstehst du nicht falsch. ;)

 

Dann habe ich es wohl falsch verstanden.

 

1. Bei Security-filtering steht "Authenticated Users" mit lesen drin. (war schon immer so)

2. Bei Delegation steht "Authenticated Users" mit lesen drin. (war schon immer so)

 

Richtig oder falsch: Bei Delegation muss noch "Domönencomputer" mit lesen rein? (wegen: If you are using security filtering, add the Domain Computers group with read permission.)



#7 rt1970

rt1970

    Member

  • 295 Beiträge

 

Geschrieben 16. Juni 2016 - 10:44

Dann habe ich es wohl falsch verstanden.

 

1. Bei Security-filtering steht "Authenticated Users" mit lesen drin. (war schon immer so)

2. Bei Delegation steht "Authenticated Users" mit lesen drin. (war schon immer so)

 

Richtig oder falsch: Bei Delegation muss noch "Domönencomputer" mit lesen rein? (wegen: If you are using security filtering, add the Domain Computers group with read permission.)

Wenn die drin stehen hast Du auch keine Probleme!

Die Domänencomputer brauchst dann nicht hinzufügen!



#8 NorbertFe

NorbertFe

    Expert Member

  • 30.833 Beiträge

 

Geschrieben 16. Juni 2016 - 10:47

Ach gefunden!
Falsch herum gedacht!
"Betroffen sind wohl Benutzer-GPOs die einen Sicherheitsfilter haben. Workarround ist die Gruppe Authentifizierte Benutzer in die Delegierung (nicht beim Sicherheitsfilter!) mit Lesen-Recht hinzuzufügen."
von
http://www.mcseboard...8/#entry1305493


Da gibts auch ein Skript verlinkt, was das geradezieht. ;)

Dann habe ich es wohl falsch verstanden.
 
1. Bei Security-filtering steht "Authenticated Users" mit lesen drin. (war schon immer so)
2. Bei Delegation steht "Authenticated Users" mit lesen drin. (war schon immer so)
 
Richtig oder falsch: Bei Delegation muss noch "Domönencomputer" mit lesen rein? (wegen: If you are using security filtering, add the Domain Computers group with read permission.)


Schau dir im Link mal das Skript an, das macht das alles automagisch.

Make something i***-proof and they will build a better i***.


#9 rt1970

rt1970

    Member

  • 295 Beiträge

 

Geschrieben 16. Juni 2016 - 11:02

 

Schau dir im Link mal das Skript an, das macht das alles automagisch.

ACHTUNG!

Englisches AD!

Muss "Authentifizierte Benutzer" und "Domänencomputer" heißen!



#10 Schweizerin

Schweizerin

    Junior Member

  • 114 Beiträge

 

Geschrieben 16. Juni 2016 - 11:09

Da gibts auch ein Skript verlinkt, was das geradezieht. ;)

Schau dir im Link mal das Skript an, das macht das alles automagisch.

Schön wärs.

 

Das Skript im ZIP-File unter https://sdmsoftware....ssing-behavior/ kann nicht funktionieren, weil es den Befehl Get-GPPermission nicht gibt (zumindest nicht auf meinem 2008 R2). Der heißt richtig Get-GPPermissions (mit "s" hinten dran). Wenn ich das dann angepasst habe (ebenso Set-GPPermission s), dann läuft das Skript duch, aber es passiert gar nichts.

 

Und noch einmal die Frage:

 

Richtig oder falsch: Bei Delegation muss noch "Domönencomputer" mit lesen rein? (wegen: If you are using security filtering, add the Domain Computers group with read permission.)

 

"Führe mal irgendein Skript aus udn stelle nicht zu viele Fragen!" ist nicht die richtige Antwort.


ACHTUNG!

Englisches AD!

Muss "Authentifizierte Benutzer" und "Domänencomputer" heißen!

 

Und siehe da, nach allen Fehlerkorrekturen sieht es dann so aus:

$allGPOs = get-gpo -all
foreach ($gpo in $allGPOs)
{
# first read the GPO permissions to find out if Authn Users and Domain Computers is missing
$perm1 = Get-GPPermissions -Guid $gpo.id -TargetName “Authentifizierte Benutzer” -TargetType group -ErrorAction SilentlyContinue
$perm2 = Get-GPPermissions -Guid $gpo.id -TargetName “Domänencomputer” -TargetType group -ErrorAction SilentlyContinue
if ($perm1 -eq $null -and $perm2 -eq $null) # if no authn users or domain computers is found, then add Authn Users read perm
{
Set-GPPermissions -Guid $gpo.Id -PermissionLevel GpoRead -TargetName “Authenticated Users” -TargetType Group
Write-Host $gpo.DisplayName “has been modified to grant Authenticated Users read access”
}

}

Das läuft zumindest durch (und ändert bei mir rein gar nichts). Jetzt weiß ich immer noch nicht, was mit "If you are using security filtering, add the Domain Computers group with read permission." ist, das Skript ändert daran ja nichts. Ich nutze security filtering und wüsste gern, was deswegen noch zu tun ist.



#11 rt1970

rt1970

    Member

  • 295 Beiträge

 

Geschrieben 16. Juni 2016 - 11:11

 

Bei Delegation muss noch "Domönencomputer" mit lesen rein?

Falsch.

Entweder "Domänencomputer" oder "Authentifizierte Benutzer".

Beides geht auch - muss aber nicht!

 

Grund:

"Before MS16-072 is installed, user group policies were retrieved by using the user’s security context. After MS16-072 is installed, user group policies are retrieved by using the machines security context."

https://support.micr...n-us/kb/3163622



#12 NilsK

NilsK

    Expert Member

  • 12.401 Beiträge

 

Geschrieben 16. Juni 2016 - 11:23

Moin,

 


Das Skript im ZIP-File unter https://sdmsoftware....ssing-behavior/ kann nicht funktionieren, weil es den Befehl Get-GPPermission nicht gibt (zumindest nicht auf meinem 2008 R2). Der heißt richtig Get-GPPermissions (mit "s" hinten dran).

 

doch, den gibt es. Aber erst ab Windows Server 2012. Da funktioniert beides, weil die Variante mit "s" als Alias definiert ist.

CommandType     Name             
-----------     ----             
Alias           Get-GPPermissions
Alias           Set-GPPermissions
Cmdlet          Get-GPPermission 
Cmdlet          Set-GPPermission 

Und du müsstest in dem wichtigen Teil mit Set-GPPermission(s) den Namen der Gruppe natürlich auch anpassen.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#13 Schweizerin

Schweizerin

    Junior Member

  • 114 Beiträge

 

Geschrieben 16. Juni 2016 - 11:39

Falsch.

Entweder "Domänencomputer" oder "Authentifizierte Benutzer".

 

Woher nimmst du diese Gewissheit? Ich interpretiere "This issue may occur if the Group Policy Object is missing the Read permissions for the Authenticated Users group or if you are using security filtering and are missing Read permissions for the domain computers group." und "Add the Authenticated Users group with Read Permissions on the Group Policy Object (GPO). If you are using security filtering, add the Domain Computers group with read permission." so:

 

Wer GPOs nutzen will, muss sie lesbar für "Authentifizierte Benutzer" machen. Wer aber GPOs zusammen mit security filtering nutzen will, muss "Domänencomputer" Leserechte geben.

 

Da lese ich kein entweder oder.

 

Habe ich falsch übersetzt oder habt ihr schlampig gelesen?


Das Originalskript jetzt so modifiziert, dass es Domänencomputer mit Leserechten hinzufügt, damit man Security Filtering nutzen kann:

# deutsche Version
$allGPOs = get-gpo -all
foreach ($gpo in $allGPOs)
{
    # first read the GPO permissions to find out if Authn Users and Domain Computers is missing
    $perm1 = Get-GPPermissions -Guid $gpo.id -TargetName “Domänencomputer” -TargetType group -ErrorAction SilentlyContinue
    if ($perm1 -eq $null) # if no domain computers is found, then add Domänencomputer read perm
    {
        Set-GPPermissions -Guid $gpo.Id -PermissionLevel GpoRead -TargetName “Domänencomputer” -TargetType Group
        Write-Host $gpo.DisplayName “has been modified to grant Domänencomputer read access”
    }

}

Und die englische Version:

# english Version
$allGPOs = get-gpo -all
foreach ($gpo in $allGPOs)
{
    # first read the GPO permissions to find out if Authn Users and Domain Computers is missing
    $perm1 = Get-GPPermissions -Guid $gpo.id -TargetName “Domain Computers” -TargetType group -ErrorAction SilentlyContinue
    if ($perm1 -eq $null) # if no domain computers is found, then add Domain Computers read perm
    {
        Set-GPPermissions -Guid $gpo.Id -PermissionLevel GpoRead -TargetName “Domain Computers” -TargetType Group
        Write-Host $gpo.DisplayName “has been modified to grant Domain Computers read access”
    }

}

Bearbeitet von Schweizerin, 16. Juni 2016 - 11:41.


#14 rt1970

rt1970

    Member

  • 295 Beiträge

 

Geschrieben 16. Juni 2016 - 11:40

Habe ich falsch übersetzt oder habt ihr schlampig gelesen?

Will ich nicht ausschließen, dass ich schlampig gelesen habe!

Ich kann nur sagen, dass ich NUR "Authentifizierte Benutzer" mit Leseberechtigung in die Delegierung hinzugefügt habe und alles war wieder Paletti ;)

Ich würde das so übersetzen:

If you are using security filtering, add the Domain Computers group with read permission

Wenn Du Sicherheitsfilter benutzt, dann füge die entsprechenden Domänen-Computer hinzu...

Es geht ja hier um ein Sicherheits-Update, dass den Man-in-the-Middle verhindern soll:

The vulnerability could allow elevation of privilege if an attacker launches a man-in-the-middle (MiTM) attack against the traffic passing between a domain controller and the target machine

Da könnte er sich authentifizieren, aber nicht als Computer...

 

PS: meine Meinung/Interpretation


Bearbeitet von rt1970, 16. Juni 2016 - 11:41.


#15 Schweizerin

Schweizerin

    Junior Member

  • 114 Beiträge

 

Geschrieben 16. Juni 2016 - 11:45


Ich kann nur sagen, dass ich NUR "Authentifizierte Benutzer" mit Leseberechtigung in die Delegierung hinzugefügt habe und alles war wieder Paletti ;)

 

Dann würde ich sagen, du nutzt kein Security Filtering. Und wenn du in ein paar Monaten/Jahren Security Filtering nutzen willst, dann wirst du dir einen Wolf suchen, weil es nicht funktioniert. Also warum nur die halbe Lösung umsetzen und nicht die, die immer funktioniert?

 

Überhaupt verstehe ich nicht, warum bei vielen "Authentifizierte Benutzer" fehlen. Bei mir sind die überall vorhanden (war mal eine 2003er Domäne, die jetzt 2008 R2 ist). Wurden die "Authentifizierte Benutzer" gelöscht?