KB3163622/KB3159398: Wie erteile ich hunderten GPOs bestimmte Zugriffsrechte?

[Schweizerin 1]

KB3163622 bzw. KB3159398 ist wie der WSUS-Zerstörer KB3159706 ein Update, dass man KEINESFALLS installieren sollte, ohne vorher den KB-Artikel gelesen zu haben.

 

"Resolution

To resolve this issue, use the Group Policy Management Console (GPMC.MSC) and follow one of the following steps:

Add the Authenticated Users group with Read Permissions on the Group Policy Object (GPO).
If you are using security filtering, add the Domain Computers group with read permission."

 

Ich habe letzteres Problem (using security filtering) in einem großen Nnetzwerk. Wie erteile ich für die Domain-Computer Leserechte für Hunderte GPOs?

bearbeitet 16. Juni 2016 von Schweizerin

[NorbertFe 2.279]

Indem man einfach mal hier nachliest: http://www.mcseboard.de/topic/207538-gpp-wird-seit-gestern-nur-bei-authentifizierten-benutzer-übernommen/(inklusive den dort verlinkten Lösungen)

[NilsK 3.046]

Moin,

 

hier findet sich ein Ansatz:

 

[Delegating Permissions to Group Policy Objects using PowerShell | SweeneyOps]
https://sweeneyops.wordpress.com/2012/06/12/delegating-permissions-to-group-policy-objects-using-powershell/
 

Gruß, Nils

[Schweizerin 1]

Moin,

 

hier findet sich ein Ansatz:

 

[Delegating Permissions to Group Policy Objects using PowerShell | SweeneyOps]

https://sweeneyops.wordpress.com/2012/06/12/delegating-permissions-to-group-policy-objects-using-powershell/

 

Gruß, Nils

 

Bei

 

$group = $(get-adgroup “GPO-Admins”).sAMAccountName

 

haut er mir als Fehler

 

Get-ADGroup : Cannot find an object with identity: 'GPO-Admins' under: 'DC=domain,DC=tld'.

 

raus. Was mache ich falsch (und ja, ich habe von Powershell nicht wirklich Ahnung)?

[NilsK 3.046]

Moin,

 

hast du denn eine Gruppe namens "GPO-Admins"?

 

Ich benannte den Artikel als Vorlage. Eine fertige Lösung für das hier diskutierte Problem ist er nicht.

 

Gruß, Nils

[Schweizerin 1]

Zwei fertige Skripte gibt es in Beitrag #13 in www.mcseboard.de/topic/207538-gpp-wird-seit-gestern-nur-bei-authentifizierten-benutzer-übernommen/

 

Verstanden habe ich einiges zwar immer noch nicht, aber das ergibt sich vielleicht noch.

[NorbertFe 2.279]

Was genau gibts denn an Mißverständnissen?

Hier ist alles schön zusammengefaßt:

http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

 

Bye

Norbert

[Schweizerin 1]

Ich habe es jetzt verstanden.

 

Und jetzt kann ich auch noch mal sagen, dass man (mit Ausnahme des Sonderfall: MultiTennant Active Directory) der Computergruppe Domänencomputer (oder einer anderen geeigneten Computergruppe) unter dem Reiter Delegierung Leserechte zuweisen sollte. Denn spätestens wenn ein Admin wieder an den Security Filtering rumbastelt und da keine Computergrupe steht, dann klappt wieder alles zusammen.

[NorbertFe 2.279]

Eigentlich nicht, es sei denn er "bastelt" die Authentifizierten user in der Sicherheitsfilterung raus und eine eigene _Nutzer_gruppe rein. Dann wäre Marks Ansatz eigentlich der richtige, das einfach auf dem Group Policy Container vorzugeben. Funktioniert dann halt nur für neue GPOs.

[daabm 1.429]

KB3163622 bzw. KB3159398 ist wie der WSUS-Zerstörer KB3159706 ein Update, dass man KEINESFALLS installieren sollte, ohne vorher den KB-Artikel gelesen zu haben.

 

"Resolution

 

To resolve this issue, use the Group Policy Management Console (GPMC.MSC) and follow one of the following steps:

 

Add the Authenticated Users group with Read Permissions on the Group Policy Object (GPO).

If you are using security filtering, add the Domain Computers group with read permission."

Nur dass das leider erst einen Tag später drinstand, als MS selbst es schließlich mitbekommen hat. Initial ging der Fix ohne Known Issues in die Breite...