Jump to content

GPP wird seit gestern nur bei "Authentifizierten Benutzer" übernommen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo!

 

Konfiguration:

SBS 2011 und Windows 7 Pro x64 Clients

 

Problem (seit gestern):

Richtlinien bei denen ich "Authentifizierte Benutzer" gelöscht habe und eine Sicherheitsgruppe (User) hinzugefügt habe werden nicht angewendet.

Ich möchte aber dass Laufwerke und Drucker bestimmten Benutzergruppen zur Verfügung gestellt werden.

 

Bis vorgestern ging alles einwandfrei. Seit gestern Mittag verschwinden Laufwerke und Drucker bei einigen(?) Computern...

Die Windows-Updates des SBS habe ich erst vorhin installiert. Daran sollte es nicht liegen...

Die Clients installieren immer Mittags ihre Updates...

 

GPResult bringt bei den betroffenen GPOs folgende Meldung z.B.:

{41B3ECDE-2AC3-48E1-8629-969D580475B2}   Zugriff nicht möglich

 

Via Explorer komme ich sowohl über \\Servernamen als auch \\Domaene.local auf die Richtlinie...

Ereignisanzeige ist auch Clean...

 

Ist irgendein Update gekommen, das die Richtlinien, die User bzw. Gruppen zugeordnet sind, nicht mehr gehen?

 

Gruß René

bearbeitet von rt1970
Link zu diesem Kommentar

@NorbertFe

:D

 

Geht aber nicht... Wenn ich die "authentifizierten User" aus der Delegierung löschen will, sind sie auch im Sicherheitsfilter raus :(

Wie kann ich nun die Richtlinie nur bestimmten Usern/Gruppen zuweisen???

 

Ach gefunden!

Falsch herum gedacht!

"Betroffen sind wohl Benutzer-GPOs die einen Sicherheitsfilter haben. Workarround ist die Gruppe Authentifizierte Benutzer in die Delegierung (nicht beim Sicherheitsfilter!) mit Lesen-Recht hinzuzufügen."

von

http://www.mcseboard.de/topic/207529-kb3159398/?do=findComment&comment=1305493

bearbeitet von rt1970
Link zu diesem Kommentar

Ja, das verstehst du nicht falsch. ;)

 

Dann habe ich es wohl falsch verstanden.

 

1. Bei Security-filtering steht "Authenticated Users" mit lesen drin. (war schon immer so)

2. Bei Delegation steht "Authenticated Users" mit lesen drin. (war schon immer so)

 

Richtig oder falsch: Bei Delegation muss noch "Domönencomputer" mit lesen rein? (wegen: If you are using security filtering, add the Domain Computers group with read permission.)

Link zu diesem Kommentar

Dann habe ich es wohl falsch verstanden.

 

1. Bei Security-filtering steht "Authenticated Users" mit lesen drin. (war schon immer so)

2. Bei Delegation steht "Authenticated Users" mit lesen drin. (war schon immer so)

 

Richtig oder falsch: Bei Delegation muss noch "Domönencomputer" mit lesen rein? (wegen: If you are using security filtering, add the Domain Computers group with read permission.)

Wenn die drin stehen hast Du auch keine Probleme!

Die Domänencomputer brauchst dann nicht hinzufügen!

Link zu diesem Kommentar

Ach gefunden!

Falsch herum gedacht!

"Betroffen sind wohl Benutzer-GPOs die einen Sicherheitsfilter haben. Workarround ist die Gruppe Authentifizierte Benutzer in die Delegierung (nicht beim Sicherheitsfilter!) mit Lesen-Recht hinzuzufügen."

von

http://www.mcseboard.de/topic/207529-kb3159398/?do=findComment&comment=1305493

Da gibts auch ein Skript verlinkt, was das geradezieht. ;)

Dann habe ich es wohl falsch verstanden.

 

1. Bei Security-filtering steht "Authenticated Users" mit lesen drin. (war schon immer so)

2. Bei Delegation steht "Authenticated Users" mit lesen drin. (war schon immer so)

 

Richtig oder falsch: Bei Delegation muss noch "Domönencomputer" mit lesen rein? (wegen: If you are using security filtering, add the Domain Computers group with read permission.)

Schau dir im Link mal das Skript an, das macht das alles automagisch.

Link zu diesem Kommentar

Da gibts auch ein Skript verlinkt, was das geradezieht. ;)

 

Schau dir im Link mal das Skript an, das macht das alles automagisch.

Schön wärs.

 

Das Skript im ZIP-File unter https://sdmsoftware.com/group-policy-blog/bugs/new-group-policy-patch-ms16-072-breaks-gp-processing-behavior/ kann nicht funktionieren, weil es den Befehl Get-GPPermission nicht gibt (zumindest nicht auf meinem 2008 R2). Der heißt richtig Get-GPPermissions (mit "s" hinten dran). Wenn ich das dann angepasst habe (ebenso Set-GPPermission s), dann läuft das Skript duch, aber es passiert gar nichts.

 

Und noch einmal die Frage:

 

Richtig oder falsch: Bei Delegation muss noch "Domönencomputer" mit lesen rein? (wegen: If you are using security filtering, add the Domain Computers group with read permission.)

 

"Führe mal irgendein Skript aus udn stelle nicht zu viele Fragen!" ist nicht die richtige Antwort.

ACHTUNG!

Englisches AD!

Muss "Authentifizierte Benutzer" und "Domänencomputer" heißen!

 

Und siehe da, nach allen Fehlerkorrekturen sieht es dann so aus:

$allGPOs = get-gpo -all
foreach ($gpo in $allGPOs)
{
# first read the GPO permissions to find out if Authn Users and Domain Computers is missing
$perm1 = Get-GPPermissions -Guid $gpo.id -TargetName “Authentifizierte Benutzer” -TargetType group -ErrorAction SilentlyContinue
$perm2 = Get-GPPermissions -Guid $gpo.id -TargetName “Domänencomputer” -TargetType group -ErrorAction SilentlyContinue
if ($perm1 -eq $null -and $perm2 -eq $null) # if no authn users or domain computers is found, then add Authn Users read perm
{
Set-GPPermissions -Guid $gpo.Id -PermissionLevel GpoRead -TargetName “Authenticated Users” -TargetType Group
Write-Host $gpo.DisplayName “has been modified to grant Authenticated Users read access”
}

}

Das läuft zumindest durch (und ändert bei mir rein gar nichts). Jetzt weiß ich immer noch nicht, was mit "If you are using security filtering, add the Domain Computers group with read permission." ist, das Skript ändert daran ja nichts. Ich nutze security filtering und wüsste gern, was deswegen noch zu tun ist.

Link zu diesem Kommentar

 

Bei Delegation muss noch "Domönencomputer" mit lesen rein?

Falsch.

Entweder "Domänencomputer" oder "Authentifizierte Benutzer".

Beides geht auch - muss aber nicht!

 

Grund:

"Before MS16-072 is installed, user group policies were retrieved by using the user’s security context. After MS16-072 is installed, user group policies are retrieved by using the machines security context."

https://support.microsoft.com/en-us/kb/3163622

Link zu diesem Kommentar

Moin,

 


Das Skript im ZIP-File unter https://sdmsoftware.com/group-policy-blog/bugs/new-group-policy-patch-ms16-072-breaks-gp-processing-behavior/ kann nicht funktionieren, weil es den Befehl Get-GPPermission nicht gibt (zumindest nicht auf meinem 2008 R2). Der heißt richtig Get-GPPermissions (mit "s" hinten dran).

 

doch, den gibt es. Aber erst ab Windows Server 2012. Da funktioniert beides, weil die Variante mit "s" als Alias definiert ist.

CommandType     Name             
-----------     ----             
Alias           Get-GPPermissions
Alias           Set-GPPermissions
Cmdlet          Get-GPPermission 
Cmdlet          Set-GPPermission 

Und du müsstest in dem wichtigen Teil mit Set-GPPermission(s) den Namen der Gruppe natürlich auch anpassen.

 

Gruß, Nils

Link zu diesem Kommentar

Falsch.

Entweder "Domänencomputer" oder "Authentifizierte Benutzer".

 

Woher nimmst du diese Gewissheit? Ich interpretiere "This issue may occur if the Group Policy Object is missing the Read permissions for the Authenticated Users group or if you are using security filtering and are missing Read permissions for the domain computers group." und "Add the Authenticated Users group with Read Permissions on the Group Policy Object (GPO). If you are using security filtering, add the Domain Computers group with read permission." so:

 

Wer GPOs nutzen will, muss sie lesbar für "Authentifizierte Benutzer" machen. Wer aber GPOs zusammen mit security filtering nutzen will, muss "Domänencomputer" Leserechte geben.

 

Da lese ich kein entweder oder.

 

Habe ich falsch übersetzt oder habt ihr schlampig gelesen?

Das Originalskript jetzt so modifiziert, dass es Domänencomputer mit Leserechten hinzufügt, damit man Security Filtering nutzen kann:

# deutsche Version
$allGPOs = get-gpo -all
foreach ($gpo in $allGPOs)
{
    # first read the GPO permissions to find out if Authn Users and Domain Computers is missing
    $perm1 = Get-GPPermissions -Guid $gpo.id -TargetName “Domänencomputer” -TargetType group -ErrorAction SilentlyContinue
    if ($perm1 -eq $null) # if no domain computers is found, then add Domänencomputer read perm
    {
        Set-GPPermissions -Guid $gpo.Id -PermissionLevel GpoRead -TargetName “Domänencomputer” -TargetType Group
        Write-Host $gpo.DisplayName “has been modified to grant Domänencomputer read access”
    }

}

Und die englische Version:

# english Version
$allGPOs = get-gpo -all
foreach ($gpo in $allGPOs)
{
    # first read the GPO permissions to find out if Authn Users and Domain Computers is missing
    $perm1 = Get-GPPermissions -Guid $gpo.id -TargetName “Domain Computers” -TargetType group -ErrorAction SilentlyContinue
    if ($perm1 -eq $null) # if no domain computers is found, then add Domain Computers read perm
    {
        Set-GPPermissions -Guid $gpo.Id -PermissionLevel GpoRead -TargetName “Domain Computers” -TargetType Group
        Write-Host $gpo.DisplayName “has been modified to grant Domain Computers read access”
    }

}
bearbeitet von Schweizerin
Link zu diesem Kommentar

Habe ich falsch übersetzt oder habt ihr schlampig gelesen?

Will ich nicht ausschließen, dass ich schlampig gelesen habe!

Ich kann nur sagen, dass ich NUR "Authentifizierte Benutzer" mit Leseberechtigung in die Delegierung hinzugefügt habe und alles war wieder Paletti ;)

Ich würde das so übersetzen:

If you are using security filtering, add the Domain Computers group with read permission

Wenn Du Sicherheitsfilter benutzt, dann füge die entsprechenden Domänen-Computer hinzu...

Es geht ja hier um ein Sicherheits-Update, dass den Man-in-the-Middle verhindern soll:

The vulnerability could allow elevation of privilege if an attacker launches a man-in-the-middle (MiTM) attack against the traffic passing between a domain controller and the target machine

Da könnte er sich authentifizieren, aber nicht als Computer...

 

PS: meine Meinung/Interpretation

bearbeitet von rt1970
Link zu diesem Kommentar

 

Ich kann nur sagen, dass ich NUR "Authentifizierte Benutzer" mit Leseberechtigung in die Delegierung hinzugefügt habe und alles war wieder Paletti ;)

 

Dann würde ich sagen, du nutzt kein Security Filtering. Und wenn du in ein paar Monaten/Jahren Security Filtering nutzen willst, dann wirst du dir einen Wolf suchen, weil es nicht funktioniert. Also warum nur die halbe Lösung umsetzen und nicht die, die immer funktioniert?

 

Überhaupt verstehe ich nicht, warum bei vielen "Authentifizierte Benutzer" fehlen. Bei mir sind die überall vorhanden (war mal eine 2003er Domäne, die jetzt 2008 R2 ist). Wurden die "Authentifizierte Benutzer" gelöscht?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...