Jump to content
Sign in to follow this  
Cosi

Lokale Sicherheitsrichtlinien Problem

Recommended Posts

Hallo zusammen,

 

Mein Problem ist die lokale Sicherheitsrichtlinie "Objektzugriffsversuche überwachen". Und zwar wird diese nur ausgeführt, wenn ich sie manuell auf dem Server aktiviere. (Vorher die GPO im AD deaktiviere)

Dann allerdings nur so lange, bis die Domänenrichtlinien (Default Domain Policy ??) diese überschreiben.

Versucht habe ich im AD:

- Neue OU erstellt, den Server hinzugefügt.

- Neues Gruppenrichtlinienobjekt angelegt, wo die Überwachungsrichtlinie aktiviert wird. Diese Explizit nur dem einem Server zugewiesen. Verknüpfung aktiviert.

- Vererbung deaktiviert

- Erzwungen

 

rsop.msc auf dem Server zeigt mir das korrekte Ergebnis an, so als würde die Richtlinie laufen. Leider tut sie das aber nicht.

Probiert habe ich weiterhin nach Recherche:

- Die Richtline "Überwachung: "Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen" deaktiviert.

 

Leider alles ohne Erfolg.

Habe schon überlegt, ob ich die Richtlinie irgendwie ein ein Script basteln kann. Das scheint aber wohl nicht möglich zu sein.

Hat von euch noch jemand eine Idee?

 

LG

Cosi

 

 

Share this post


Link to post
Share on other sites
vor 2 Minuten schrieb Cosi:

- Erzwungen

Du weißt, wofür man sowas braucht? ;)

 

Wie siehts denn auf Domänenebene aus? Du schreibst, dass die Default Domain Policy das überschreibt. Also funktioniert es ja prinzipiell, oder?

 

Bye

Norbert

Share this post


Link to post
Share on other sites

Hi Norbert,

vor 45 Minuten schrieb NorbertFe:

Erzwungen

naja, meines Wissens nach, damit diese Richtlinie in diesem Pfad als letztes zieht.

vor 43 Minuten schrieb NorbertFe:

Wie siehts denn auf Domänenebene aus? Du schreibst, dass die Default Domain Policy das überschreibt. Also funktioniert es ja prinzipiell, oder?

Prinzipiell funktioniert es.  Bei aktivierter AD Richtlinie ändert sich das Symbol und die Richtlinie ist am lokalem Server "ausgegraut". Allerdings greifen die Einstellungen nicht.

Deaktiviere ich die AD Richtlinie, kann ich zwar am Server manuell die Sicherheitsrichtlinie aktivieren und diese ist auch funktionstüchtig, wird aber wieder überschrieben. (Sicherheitseinstellung: Keine Überwachung)

Share this post


Link to post
Share on other sites
vor 6 Stunden schrieb Cosi:

naja, meines Wissens nach, damit diese Richtlinie in diesem Pfad als letztes zieht.

Eben und wieso setzt du den Haken dann? ;) In der neuen OU wirds ja wohl nicht noch mehr Struktur geben, oder? Und wenn dann wäre jetzt zu klären, ob evtl. noch weiter oben "Erzwungen" wird.

 

vor 6 Stunden schrieb Cosi:

Allerdings greifen die Einstellungen nicht

Woran merkst du das? Das ist ein Memberserver und kein DC, oder?

Share this post


Link to post
Share on other sites
vor 14 Minuten schrieb NorbertFe:

Eben und wieso setzt du den Haken dann? ;) In der neuen OU wirds ja wohl nicht noch mehr Struktur geben, oder? Und wenn dann wäre jetzt zu klären, ob evtl. noch weiter oben "Erzwungen" wird.

Den Haken habe ich mehr oder weniger aus Verzweiflung gesetzt. Es werden hier tatsächlich noch weitere Richtlinien erzwungen. Ich werde meine mal ganz oben ansiedeln.  Aber wie gesagt, laut rsop scheint die Richtlinie ja zu ziehen. Aber ohne Auswirkung. 

Was mich zu "

vor 17 Minuten schrieb NorbertFe:

Woran merkst du das? Das ist ein Memberserver und kein DC, oder?

Es ist ein Member Server. Ich lasse das Sicherheitslog des "Überwachten" Servers durch ein externes Programm "WatchDirectory" nach bestimmten Einträgen durchsuchen, die bei löschen, ändern, umbenennen entstehen. Das funktioniert aber nur so lange, bis die lokale Richtlinie überschrieben wird. Sei es durch meine konfigurierte AD Richtlinie, oder durch eine andere (vermutlich default Domain Policy") weil hier nichts konfiguriert ist. 

Share this post


Link to post
Share on other sites

Den selben Beitrag habe ich auch gefunden. Leider funktionierte das auch nicht. 

Habe auch überlegt den Server wieder aus der Domäne zu nehmen. Dann müssten sich die Mitarbeiter aber bei dem Überwachten Verzeichnis anmelden, was ich nicht möchte. Im Moment wird dieses Verzeichnis automatisch, unsichtbar gemappt. 

Share this post


Link to post
Share on other sites

Na das wär ja wohl ein Irrweg ;) sowas macht man doch nicht ohne Domäne.

 

hast du die im Artikel erwähnte policy denn gesetzt?

Edited by NorbertFe

Share this post


Link to post
Share on other sites
vor 22 Stunden schrieb Cosi:

- Die Richtline "Überwachung: "Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen" deaktiviert.

Ich hätte ja erwartet, dass man die aktivieren muss. Aber ich gebe zu, dass ich das gerade nicht testen kann.

Share this post


Link to post
Share on other sites

Jo, habe ich bereits probiert und auch den Reg-Key überprüft. Stimmt mit der Beschreibung überein.

Also mir gehen die Ideen aus.

Share this post


Link to post
Share on other sites

Moin zusammen,

 

ich habe das Problem jetzt erst einmal so gelöst, dass ich eine weitere lokale Richtlinie aktiviert habe, welche den Gruppenrichtlinien-Aktualisierungintervall hochsetzt.

"Richtlinien für lokale Computer"-->"Computerkonfiguration"-->"Administrative Vorlagen"-->"System"-->"Gruppenrichtlinie".

Hier die Gruppenrichtlinie: "Gruppenrichtlinien-Aktualisierungsintervall für Computer"

Nicht die schönste Lösung, aber ich habe Zeit mich in Ruhe um das Problem zu kümmern.

Share this post


Link to post
Share on other sites
vor 2 Stunden schrieb NilsK:

Moin,

 

aber dann hätte doch auch ein einmaliges "gpupdate" gereicht?

Hi Nils,

 

ich will ja gar nicht, dass mir die Domain Policy meine lokale Richtlinie überschreibt. Deswegen habe ich den Wert auf dem Server von 90 Minuten hochgesetzt auf 2 Wochen.

Bzw. eigentlich will ich es natürlich schon, nur leider zieht dann die Überwachungsrichtlinie nicht mehr.

vor einer Stunde schrieb daabm:

Den Artikel schaue ich mir mal an.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...